Après la découverte d’une faille de sécurité permettant de s’emparer de profils Instagram via son chatbot Meta AI, Meta a affirmé avoir résolu l’incident. Pourtant, les piratages se poursuivent. En réalité, l’entreprise s’est contentée de masquer l’accès visible en front-end, laissant les infrastructures techniques de l’API totalement vulnérables aux requêtes des attaquants.
Pour aller plus loin
Marre des Instantanés sur Instagram ? Voici comment les masquer et stopper les notifications
Une faille simpliste toujours active
L’affaire a débuté le week-end dernier. Des attaquants ont réussi à prendre le contrôle de nombreux profils Instagram, notamment des comptes à forte valeur dits « OG handles », caractérisés par des pseudonymes courts ou rares. Le procédé de piratage était rudimentaire. Les pirates se sont adressés directement au robot conversationnel d’assistance client de Meta en affirmant être les propriétaires légitimes des profils visés. Il suffisait ensuite de simplement exiger le remplacement de l’adresse de messagerie associée.
Le chatbot s’est exécuté sans procéder à aucune vérification d’identité. Il a lié le compte cible à la nouvelle adresse contrôlée par l’attaquant, neutralisant de fait la double authentification (2FA) pourtant active sur les profils des victimes.
Le vice-président des communications de Meta, Andy Stone, a rapidement communiqué en déclarant que « nous avons déjà sécurisé les comptes concernés et nous nous employons actuellement à rétablir l’accès pour les utilisateurs touchés ».
Toutefois, des développeurs affirment sur le fil Telegram Bugify Vault que la faille est toujours exploitable. Ils expliquent que Meta n’a pas corrigé le problème de fond sur ses serveurs. L’entreprise aurait uniquement supprimé le bouton d’interface utilisateur « Obtenir de l’aide ». Les points de terminaison de l’API, c’est-à-dire les portes d’accès logicielles directes aux serveurs, seraient restés ouverts et accessibles.
De fait, on a vu apparaître de nouveaux cas, comme celui de Jane Manchun Wong qui a rapporté que son compte à quatre lettres avait été piraté et que son mot de passe avait été modifié.
L’automatisation en cause
L’une des causes de cet incident peut être la gestion des équipes chez Meta. Elles ont récemment été profondément remaniées. Meta a massivement réaffecté ses ressources humaines vers ses programmes d’IA, ce qui s’est traduit par une réduction de 60 % des effectifs de la division Trust and Safety (Confiance et Sécurité) d’Instagram.
Cette restructuration a conduit à une automatisation totale des processus de récupération. La brique logicielle de Meta AI a été programmée pour exécuter de bout en bout des actions critiques, telles que la réinitialisation sécurisée des mots de passe, sans maintenir la supervision humaine qui prévalait auparavant.
Actuellement, il n’existe aucune manière de protéger son compte Instagram. Il faut attendre que Meta comble la faille.
Utilisez-vous Google News (Actualités en France) ? Vous pouvez suivre vos médias favoris. Suivez Frandroid sur Google News (et Numerama).
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et .
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.