L’IA de Meta a permis à des pirates de détourner des comptes Instagram sans la moindre effraction. Il leur a suffi de demander à l’assistant de support de rattacher une nouvelle adresse mail au compte de la victime, puis de réinitialiser le mot de passe.
- Des pirates ont détourné des comptes Instagram en demandant au support IA de Meta d’ajouter leur adresse mail au compte visé.
- Le procédé ne nécessitait aucun virus : un VPN et un code de vérification suffisaient à contourner les défenses automatiques.
- Meta dit avoir corrigé la faille, mais l’affaire montre le danger d’une IA capable de gérer la récupération des comptes.
L’affaire a été dévoilée par 404 Media, site spécialisé dans les enquêtes technologiques. Ses journalistes ont retrouvé des pirates qui détournaient des comptes Instagram via l’IA de Meta. Mais alors quelle méthode était utilisée par ceux qui ont profité de cette faille ?
À lire : Voici comment cacher sa liste d’amis sur Facebook
Meta AI a réinitialisé des mots de passe à la demande de pirates
Plusieurs profils ont été touchés, comme l’ancien compte de la Maison-Blanche de l’ère Barack Obama et celui de l’enseigne Sephora. Les victimes racontent n’avoir trouvé aucun interlocuteur humain pour récupérer leur accès.
Le procédé n’a demandé aucun virus ou logiciel. Le pirate ouvrait une conversation avec l’assistant de support et lui demandait d’enregistrer une autre adresse mail sur le compte de sa cible. Un code de vérification arrivait alors sur l’adresse donnée par le pirate. Il suffisait de communiquer ce code au robot pour débloquer la réinitialisation du mot de passe, sans jamais toucher à la boîte mail de la victime.
Les pirates passent par un VPN réglé sur la région géographique de leur cible. Le support de Meta utilisait la localisation comme signal d’authentification. Résultat, cette simple usurpation suffisait à contourner les défenses automatiques d’Instagram.
Une faille utilisée pendant de très longs mois
Il faut dire que Meta a confié de lourdes responsabilités à son assistant IA. En mars 2026, l’entreprise a étendu son support IA à tous les comptes Facebook et Instagram, avec la possibilité de réinitialiser les mots de passe et de gérer la récupération des comptes. La page de présentation parlait alors d’un outil capable d’apporter « des solutions, pas seulement des suggestions ».
La faille fut exploitable pendant des mois. Elle n’a attiré l’attention qu’après le détournement de plusieurs comptes très suivis. Pour les victimes, le problème allait plus loin, car aucune procédure ne permettait de parler à un humain pour reprendre la main. Le choix de confier la sécurité et la récupération des comptes à une IA a rapidement montré ses limites.
Meta a corrigé la faille en urgence avec un correctif
Sauf que voilà, tous les comptes n’étaient pas piratables comme ceux qui activaient une double authentification, même par simple code envoyé par SMS. Meta déployé un correctif en urgence. Andy Stone, vice-président de la communication de Meta, a réagi sur le réseau social X. « Ce problème a été résolu et nous sécurisons les comptes touchés », a-t-il écrit.
Thank you for raising this. While we have already secured impacted accounts, we are now working to restore access to affected individuals. Some people may receive password reset notifications and some may be asked security questions when they try and log into their accounts.
— Andy Stone (@andymstone) June 2, 2026
En attendant, la prudence reste de mise pour les utilisateurs de Facebook et Instagram. Le meilleur réflexe reste de changer son mot de passe et d’activer la double authentification. Cette affaire rappelle surtout qu’une IA avec de très hauts privilèges peut vite se transformer en arme redoutable.
Source : 404 Media
Réagissez à cet article !