« Nous avons sécurisé les comptes » : Meta a menti et votre Instagram reste vulnérable aux pirates

La faille de sécurité qui permet de pirater des comptes Instagram reste active en 2026 malgré la réponse de Meta.

Une faille de sécurité majeure touche actuellement les comptes Instagram, et la réponse de Meta soulève de sérieuses questions. L’entreprise a bien réagi, mais les spécialistes affirment que la correction apportée reste en surface, laissant des millions de profils exposés à des attaques.

Un chatbot transformé en outil de piratage

Tout a débuté récemment, lorsque des attaquants ont pris le contrôle de nombreux profils sur le réseau social. Leur cible principale : les comptes dits « OG handles », c’est-à-dire des pseudonymes courts ou rares, particulièrement convoités.

Le procédé utilisé était rudimentaire. Les pirates ont contacté le chatbot d’assistance client de Meta AI en se présentant comme les propriétaires légitimes des comptes visés. Ils ont ensuite demandé le remplacement de l’adresse e-mail associée au profil.

Le robot a obéi sans aucune vérification d’identité. Il a lié le compte cible à la nouvelle adresse contrôlée par l’attaquant, neutralisant ainsi la double authentification (2FA) pourtant active sur les profils des victimes.

« Nous avons déjà sécurisé les comptes concernés et nous nous employons actuellement à rétablir l’accès pour les utilisateurs touchés. » – Andy Stone, vice-président des communications de Meta

Une réponse de façade, pas une vraie correction

Meta a rapidement annoncé avoir résolu le problème. Pourtant, des développeurs sur le fil Telegram Bugify Vault affirment que la faille reste exploitable.

Selon eux, Meta n’a pas corrigé le problème de fond sur ses serveurs. L’entreprise aurait seulement supprimé le bouton d’interface utilisateur « Obtenir de l’aide » visible par les utilisateurs.

Par conséquent, les points de terminaison de l’API, c’est-à-dire les portes d’accès directes aux serveurs, seraient restés ouverts. Des attaquants peuvent donc toujours les contacter directement, sans passer par l’interface visible.

De nouvelles victimes après la « correction »

Des cas concrets prouvent que la menace persiste. La chercheuse Jane Manchun Wong a rapporté publiquement que son compte à quatre lettres avait été piraté et que son mot de passe avait été modifié, et ce après que Meta avait pourtant déclaré avoir résolu l’incident.

Ce type de témoignage illustre l’écart entre la communication officielle de Meta et la réalité technique. Des piratages continuent de se produire, et les profils les plus visibles restent des cibles faciles.

• Les comptes « OG handles » (pseudonymes courts ou rares) sont les cibles prioritaires des attaquants.
• Le chatbot Meta AI a exécuté des changements d’adresse e-mail sans aucune vérification d’identité.
• La double authentification (2FA) n’a pas suffi à protéger les victimes.
• Meta a supprimé un bouton d’interface, mais les points de terminaison de l’API sont restés accessibles selon Bugify Vault.
• De nouveaux piratages ont été signalés après la supposée correction de Meta.

La réduction des équipes de sécurité pointée du doigt

L’une des causes probables de cet incident réside dans les choix organisationnels de Meta. L’entreprise a massivement réaffecté ses ressources humaines vers ses programmes d’intelligence artificielle.

Cette décision s’est traduite par une réduction de 60 % des effectifs de la division Trust and Safety, la division Confiance et Sécurité d’Instagram. Moins de personnes surveillent donc les processus critiques.

L’automatisation totale, un risque sous-estimé

La restructuration des équipes a poussé Meta à automatiser entièrement les processus de récupération de comptes. La brique logicielle de Meta AI a ainsi été chargée d’exécuter de bout en bout des actions critiques, comme la réinitialisation de mots de passe.

Auparavant, une supervision humaine existait pour ces opérations sensibles. Désormais, cette supervision a disparu, laissant le robot agir seul sur des données personnelles importantes.

De fait, une faille dans le comportement du chatbot peut se transformer directement en vecteur d’attaque à grande échelle, sans qu’aucun humain ne détecte l’anomalie en temps réel.

À ce jour, il n’existe aucun moyen connu de protéger son compte Instagram contre cette vulnérabilité. Les utilisateurs doivent attendre que Meta apporte une correction technique réelle sur ses serveurs, et non plus seulement en façade.

Christophe Cohen

Passionné par le SEO et l'écriture, cela fait maintenant 15 ans que j'écris pour plusieurs sites internet d'information. J'adore le foot, l'OM, la mauresque, le soleil et je déteste la pluie, les crabes et les méduses.