En 2026, une faille dans l'outil IA de Meta a compromis 20 225 comptes Instagram. La double authentification était le seul rempart efficace.
Une faille de sécurité majeure vient d’ébranler la confiance de millions d’utilisateurs de la plateforme sociale de Meta. Des dizaines de milliers de comptes ont été compromis via un outil de support dopé à l’intelligence artificielle, et les victimes n’avaient, pour la plupart, aucun moyen de s’en douter. Ce qui s’est passé entre avril et mai révèle une négligence technique difficile à ignorer.
Une faille dans l’outil de récupération de compte Instagram de Meta
Meta a officiellement reconnu les faits dans une notification de fuite déposée auprès du procureur général du Maine. Selon Cybernews, qui a consulté le document, exactement 20 225 comptes Instagram ont été compromis via une faille dans le « High Touch Support » (HTS). Cet outil, assisté par IA, était censé aider les utilisateurs verrouillés hors de leur compte. En pratique, il a fait l’inverse.
Le mécanisme d’attaque est d’une simplicité gênante. Pour déclencher une récupération, le HTS demandait une adresse e-mail, puis envoyait un lien de réinitialisation de mot de passe. Or, d’après la notification de Meta, l’outil ne vérifiait pas que cette adresse correspondait bien à celle liée au compte ciblé. Un attaquant entrait donc sa propre adresse, recevait le lien, changeait le mot de passe et prenait la main.
Par conséquent, la barrière qui aurait dû bloquer ce scénario – une simple correspondance d’adresse e-mail – n’existait pas. Ce type de vérification est pourtant une base dans n’importe quel système d’authentification sérieux.
Des données personnelles exposées sans résistance
Sans la double authentification (2FA) activée, le pirate accédait à l’intégralité du compte. Cela inclut les messages privés, la date de naissance, les contacts et tout l’historique de la plateforme.
Ainsi, les victimes ne pouvaient pas détecter l’attaque en temps réel. Le changement de mot de passe survenait depuis l’extérieur, sans alerte visible côté utilisateur, sauf si le 2FA était actif.
« Le problème était réglé. »
C’est Andy Stone, vice-président de la communication de Meta, qui a prononcé ces mots publiquement, fin mai, après une vague de signalements d’utilisateurs sur les réseaux sociaux. Pourtant, les premières attaques remontaient au 17 avril, et Meta n’a découvert le problème que le 31 mai – soit environ deux mois après le début des intrusions.
Des cibles choisies, une réaction tardive d’Instagram
Les pirates ne frappaient pas au hasard. Ils visaient en priorité les comptes à pseudo rare, comme celui d’un haut gradé de l’US Space Force ou un compte de la Maison-Blanche de l’ère Obama. Ce ciblage suggère une opération organisée, pas une simple collecte opportuniste.
De plus, la question du délai reste sans réponse claire de Meta. La faille est restée active environ deux mois. L’entreprise n’a réagi qu’après une vague de signalements publics fin mai, pas à la suite d’une détection interne proactive.
- 20 225 comptes compromis, selon la notification déposée auprès du procureur général du Maine
- Les attaques ont débuté vers le 17 avril, mais Meta n’a réagi que le 31 mai
- L’outil HTS envoyait un lien de réinitialisation sans vérifier la correspondance de l’adresse e-mail
- Les cibles prioritaires étaient des comptes à pseudo rare, dont des profils liés à des institutions américaines
- La double authentification (2FA) était la seule protection efficace contre cette faille
Meta a depuis désactivé l’outil HTS et réinitialisé les comptes touchés. L’entreprise promet de corriger la vérification d’e-mail avant de le relancer. En revanche, ce n’est pas un cas isolé : une simple discussion avec le chatbot de Meta suffisait déjà, par le passé, à voler des comptes, et le correctif déployé à l’époque n’était qu’un bricolage superficiel. L’IA de support de Meta accumule ainsi les failles.
Ce que révèle ce type de vulnérabilité
Une vérification d’e-mail non fonctionnelle dans un outil de récupération de compte, c’est une erreur fondamentale. Ce n’est pas une faille sophistiquée : c’est un contrôle de base qui n’a pas été implémenté, ou pas testé correctement avant déploiement.
Par ailleurs, le fait que la détection soit venue de signalements d’utilisateurs, et non d’une surveillance interne, pose une question sérieuse sur la robustesse des systèmes de monitoring de Meta. Deux mois, c’est long pour une faille aussi directement exploitable.
Le seul geste qui protégeait vraiment vos comptes
Dans cette affaire, un seul réflexe a bloqué les pirates : l’activation de la double authentification (2FA). Ce code reçu sur votre téléphone représentait la dernière ligne de défense, et elle a tenu. Sans elle, aucune autre mesure ne suffisait.
Si votre compte sur la plateforme n’a pas encore le 2FA activé, rendez-vous dans les réglages de sécurité. C’est gratuit, cela prend moins de deux minutes, et c’est précisément ce qui a fait la différence pour les utilisateurs épargnés lors de cette vague d’attaques.
Désormais, Meta dit vouloir corriger la vérification d’e-mail avant de relancer l’outil HTS. Ce correctif est indispensable. Mais en attendant, la responsabilité de se protéger reste, en grande partie, entre les mains des utilisateurs eux-mêmes – ce qui, au regard de l’ampleur de la faille, est une position inconfortable pour une entreprise de cette taille.
« La fête est finie pour Rockstar » : Barbie Rewind sort une semaine avant GTA 6 et personne ne l’avait vu venir
Fini les outils hors de prix pour le jardin et le bricolage : ces références Parkside sont au meilleur prix sur Amazon
Fini les moustiques sur la terrasse cet été : le vieux truc de jardinier qui sauve aussi les abeilles
Rachat de SFR par Bouygues, Free et Orange : votre forfait mobile va-t-il vraiment coûter plus cher ?
