Getty Images/iStockphoto
Instagram : quand une IA se voit dotée de trop de pouvoir
L’exploitation de l’IA de Meta a permis à des attaquants de prendre le contrôle de comptes Instagram de haut profil via une simple requête de support automatisé.
On connaissait le détournement de chatbots pour profiter de services d’IA générative gratuitement. Voici leur détournement pour le vol de comptes de réseaux sociaux.
L’exploitation repose sur une interaction simple avec le chatbot de support de Meta. Les attaquants initiaient une conversation en demandant au système d’IA de lier le compte visé à une nouvelle adresse e-mail. Le processus était direct : l’attaquant demandait au bot de lier son adresse, recevait le code de vérification envoyé par le système, puis utilisait ce code pour valider l’e-mail et définir un nouveau mot de passe, boutant ainsi le propriétaire légitime hors de son compte.
Meta a déployé son assistant de support alimenté par IA en mars, une fonctionnalité censée aider à la réinitialisation des mots de passe et à la récupération de compte. Cependant, les vidéos partagées par des chercheurs en sécurité ont démontré que l’attaque était d’une simplicité déconcertante, du moins pour les comptes non protégés par authentification à facteurs multiples (MFA).
L’impact sur les comptes de haute valeur
L’incident a touché des comptes de haute valeur et de haut profil. Parmi les comptes compromis figurent celui de la Maison-Blanche de Barack Obama, du chief master sergeant de la Space Force et de Sephora, selon nos confrères de 404. L’exploitation a mis en lumière la vulnérabilité des fonctions de support automatisé pour les comptes de personnalités.
Pour contourner les vérifications géographiques potentielles, certains attaquants ont utilisé un réseau privé virtuel (VPN) afin de simuler une localisation géographique proche de celle de la cible, lors de la prise de contact avec le support de Meta. La reproductibilité de l’attaque a été confirmée par Jane Manchun Wong, chercheuse en sécurité, qui a subi des tentatives répétées de réinitialisation et de modification de son mot de passe sans son consentement. Elle dit pourtant avoir bien activé l’authentification à double facteur.
D’aucuns font également état de tentatives d’extorsion consécutives, jusque sur WhatsApp.
De la délégation de fonctions critiques
L’incident est directement lié à la délégation de fonctions critiques à l’IA. L’absence de possibilité de remonter un problème vers un agent humain dans ce flux automatisé de gestion de compte constitue un risque opérationnel majeur ici illustré à la perfection.
En réponse à la crise, Andy Stone, responsable de la communication de Meta, a assuré que le problème avait été résolu et que les comptes impactés étaient en cours de sécurisation.
Pour certains observateurs, toutefois, la situation n’est pas pleinement corrigée, « car l’IA n’est pas linéaire. L’exploit évolue tant que l’outillage est là ». Et si le bouton permettant de solliciter le support n’est plus présent, la fonctionnalité sous-jacente serait elle toujours là.
Pour approfondir sur IA appliquée à la cybersécurité
-
![]()
Ready for IT : 2026, année de la prise de conscience sur l’IA
Par: Alain Clapaud
-
![]()
Entre mythe et réalité : l’impact de Claude Mythos sur la cybersécurité
Par: Valéry Rieß-Marchive
-
![]()
L’ombre de REvil : traque internationale des architectes d’une cybermenace systémique
Par: Valéry Rieß-Marchive
-
![]()
Ransomware : les 6 étapes de la cinétique d’une cyberattaque
Par: Valéry Rieß-Marchive
