Meta vient de l’admettre noir sur blanc, dans une notification de fuite déposée auprès du procureur général du Maine. Selon Cybernews, qui a consulté le document, exactement 20 225 comptes Instagram ont été compromis via une faille dans le « High Touch Support » (HTS), l’outil de récupération de compte assisté par IA censé vous aider quand vous êtes verrouillé dehors. Sauf qu’il a fait l’inverse : il a ouvert la porte aux pirates.
Le mécanisme est d’une simplicité gênante. Pour récupérer un compte, le HTS demande une adresse e-mail avant d’envoyer un lien de réinitialisation de mot de passe. Problème : d’après la notification de Meta, l’outil ne vérifiait pas que cette adresse correspondait bien à celle liée au compte. Un attaquant entrait sa propre adresse, recevait le lien, changeait le mot de passe et entrait.
Une vérification d’e-mail qui ne vérifiait rien
La seule barrière qui tenait encore, c’est la double authentification (2FA), ce code reçu sur votre téléphone. Sans elle, le pirate prenait la main sur vos messages privés, votre date de naissance, vos contacts et tout votre historique. La faille a traîné environ deux mois : selon le document, les attaques ont commencé vers le 17 avril, mais Meta n’a découvert le problème que le 31 mai. Les pirates ont visé en priorité les comptes à pseudo rare, comme celui d’un haut gradé de l’US Space Force ou un compte de la Maison-Blanche de l’ère Obama.
Une question reste sans réponse claire de la part de Meta : pourquoi la faille a-t-elle pu rester active aussi longtemps. Les premières attaques remontent à la mi-avril, mais l’entreprise n’a réagi qu’après une vague de signalements d’utilisateurs sur les réseaux sociaux, fin mai. C’est ce qui a poussé Andy Stone, vice-président de la communication de Meta, à confirmer publiquement que le problème était « réglé ».
Meta a depuis désactivé l’outil, réinitialisé les comptes touchés et promet de corriger la vérification d’e-mail avant de le relancer. Le souci, c’est que ce n’est pas un cas isolé : une simple discussion avec le chatbot de Meta suffisait déjà à voler des comptes, et le correctif déployé ensuite n’était qu’un bricolage superficiel. Bref, l’IA de support de Meta accumule les trous.
Concrètement, le seul réflexe qui protégeait vraiment, c’était d’avoir activé la double authentification. Si ce n’est pas encore fait sur votre compte Instagram, foncez dans les réglages de sécurité : c’est gratuit, ça prend deux minutes, et c’est exactement ce qui a bloqué les pirates dans cette affaire.
Pour aller plus loin
Quels sont les meilleurs gestionnaires de mots de passe en 2026 ?
Chaque matin, WhatsApp s’anime avec les dernières nouvelles tech. Rejoignez notre canal Frandroid pour ne rien manquer !
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et .
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.