Une faille exploitée via le chatbot Meta AI
Ce week‑end, la communauté en ligne a été secouée par une vague de signalements d’intrusions sur Instagram. Des utilisateurs de Reddit et de X ont partagé leurs expériences, décrivant comment leurs comptes avaient été détournés sans qu’ils n’aient jamais fourni leurs identifiants. Parmi les victimes, on retrouve des profils officiels – le compte de la Maison Blanche de l’ère Obama (inactif depuis 2017) et celui du sergent‑maître de l’U.S. Space Force, John Bentivegna – ainsi que des comptes personnels de chercheurs en cybersécurité comme Jane Wong.
Le point commun de ces attaques réside dans une technique novatrice : les pirates ont manipulé le chatbot d’assistance alimenté par l’intelligence artificielle de Meta, baptisé « Meta AI Support Assistant », afin d’obtenir un accès non autorisé aux comptes ciblés. Cette méthode s’appuie sur la capacité du bot à intervenir dans le processus de réinitialisation du mot de passe, sans jamais toucher à l’adresse e‑mail réellement liée au profil de la victime.
Le modus operandi des assaillants
Selon la vidéo circulate sur X, les hackers commencent par masquer leur localisation grâce à un VPN, évitant ainsi les mécanismes de détection automatique d’Instagram. Une fois le poste d’apparence du compte compromis, ils ouvrent une conversation avec le chatbot d’assistance et formulent une demande précise : « Ajoutez cette adresse e‑mail à mon compte ». Le bot répond en générant un code de vérification, qu’il envoie à l’adresse fournie par le pirate.
Le cybercriminel récupère alors le code depuis la boîte aux lettres publique qu’il contrôle, le renvoie au chatbot et, dès que le système le valide, un bouton « Réinitialiser le mot de passe » apparaît. Le hacker saisit un nouveau mot de passe, prend le contrôle du compte et peut ainsi publier, modifier ou supprimer du contenu à sa guise. L’avantage de cette technique réside dans le fait que l’adresse e‑mail légitime du compte ne subit aucune altération, rendant la détection encore plus difficile.
TechCrunch a pu confirmer la réception du code de vérification dans la boîte mail publique affichée dans la démonstration, prouvant ainsi la viabilité de l’attaque. Bien que Meta n’ait pas encore commenté officiellement les faits, Instagram a rapidement déclaré que la faille était désormais corrigée, selon un communiqué d’Andy Stone, porte‑parole de la plateforme.
Conséquences et bonnes pratiques
Le nombre exact d’utilisateurs affectés reste flou, mais l’incident souligne les risques liés à la confiance excessive placée dans les assistants IA de support. Il rappelle aussi l’importance de l’authentification à deux facteurs (2FA) et de la surveillance régulière des activités de connexion. Les experts recommandent de désactiver les options de réinitialisation automatiques lorsqu’elles ne sont pas nécessaires, et d’utiliser des e‑mails de secours sécurisés.
En parallèle, cet épisode relance le débat sur la conception sécuritaire des chatbots d’assistance. Les systèmes d’IA doivent être conçus pour éviter tout abus potentiel, notamment en limitant les capacités d’interaction avec les fonctions sensibles comme la gestion des identifiants. Les développeurs de Meta devront sans doute retravailler leurs protocoles de vérification afin d’empêcher toute manipulation similaire à l’avenir.
Pour les utilisateurs, la vigilance reste la meilleure défense : changez régulièrement vos mots de passe, activez la 2FA, et surveillez les e‑mails de réinitialisation inattendus. En cas de doute, contactez directement le support officiel via les canaux recommandés, sans passer par des interactions automatisées suspectes.