Une faille du chatbot d'assistance de Meta a permis le détournement de comptes Instagram

Une vulnérabilité critique dans le système d'assistance de Meta, entièrement basé sur une intelligence artificielle, a permis à des individus de prendre le contrôle de comptes Instagram en toute simplicité. Selon des informations recueillies auprès de sources concordantes, le chatbot de support acceptait d'envoyer les liens de réinitialisation de mot de passe à l'adresse électronique fournie par un interlocuteur se présentant comme la victime d'un piratage, sans vérifier au préalable son identité réelle.

Le mode opératoire était étonnamment simple : l'attaquant contactait le support via l'interface de chat, affirmait être le propriétaire légitime d'un compte prétendument compromis, puis demandait à recevoir le code de récupération sur une adresse électronique qu'il contrôlait. L'IA, sans exiger de justificatif supplémentaire, accédait à cette requête. En quelques clics, le mot de passe était modifié et le véritable propriétaire perdait tout accès.

La double authentification a fait barrage

Seule une mesure de sécurité s'est révélée efficace face à cette attaque : l'authentification à deux facteurs (2FA). Les comptes qui avaient activé cette protection n'ont pas été compromis, car le code supplémentaire requis bloquait la prise de contrôle. En revanche, les comptes dépourvus de cette couche de sécurité sont tombés, y compris des profils très médiatisés. Le compte @obamawhitehouse, qui comptait des millions d'abonnés et était resté inactif depuis longtemps, a été détourné et s'est mis à publier du contenu indésirable avant d'être nettoyé par la suite.

Un marché noir des pseudos courts

Les cybercriminels ont organisé leurs opérations via des groupes de messagerie Telegram, où des chercheurs comme ZachXBT ont documenté l'ampleur du phénomène. Les pseudonymes courts et recherchés (par exemple @hey) étaient particulièrement convoités, car ils se revendaient à prix d'or sur le marché noir. Cette faille a ainsi alimenté un véritable trafic de comptes Instagram.

Correction en urgence et recommandations

Meta a pris conscience du problème et a déployé un correctif en urgence. L'entreprise a également indiqué avoir sécurisé les comptes qui avaient été touchés. Pour les utilisateurs qui soupçonnent un piratage, il est conseillé de passer par la procédure « Mot de passe oublié » puis « Mon compte a été piraté ». Une fois l'accès récupéré, il est impératif de vérifier que l'adresse électronique et le numéro de téléphone associés au compte sont bien les siens – l'attaquant a pu les modifier – avant de déconnecter toutes les sessions inconnues.

Cette affaire rappelle que, malgré les progrès de l'intelligence artificielle dans le support client, les procédures de vérification d'identité restent un maillon faible. Les experts en sécurité répètent depuis des années l'importance de la double authentification, qui s'est une nouvelle fois montrée décisive pour stopper ce type d'attaque.