Brief IA : Instagram : l'IA de Meta livre des comptes prestigieux aux hackers

Instagram : l'IA de Meta livre des comptes prestigieux aux hackers

Brief IA
Tom Levy·3 min·5 vues

Le chatbot IA de support client de Meta a permis à des hackers de prendre le contrôle de milliers de comptes Instagram, dont celui de la Maison Blanche de Barack Obama, en réinitialisant des mots de passe sans vérification d'identité. Cet incident met en lumière les failles de sécurité des systèmes d'IA, soulignant l'importance de la sécurité des données pour maintenir la confiance des utilisateurs dans les plateformes numériques.

En bref
1Des hackers ont exploité le chatbot IA d'Instagram pour pirater des comptes, y compris celui de Barack Obama.
2Le chatbot a permis de réinitialiser des mots de passe sans vérification d'identité, exposant de nombreux utilisateurs.
3Meta a corrigé la faille, mais des comptes ont été vendus pour jusqu'à 1 million de dollars.
💡Pourquoi c'est importantLa sécurité des comptes en ligne est menacée par des failles dans les systèmes automatisés, exposant des utilisateurs influents à des risques accrus.
Le brief IA que lisent les pros

Tu veux les meilleurs outils IA avant les autres ?

On teste et on décrypte les nouveaux outils IA chaque soir, en 5 min. Gratuit.

Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.

Choisis ton rythme

Gratuit · Pas de spam · Désabonnement en 1 clic

📄
L'analyse en français

Le piratage facilité par l'IA d'Instagram

Le week-end dernier, plusieurs comptes Instagram de grande envergure ont été compromis, notamment celui de la Maison Blanche de Barack Obama, qui est sans doute le plus notable. Les hackers ont réussi à exploiter une faille dans le chatbot IA de support client de Meta, facilitant ainsi l'accès à ces comptes.

Une faille dans le système de réinitialisation

D'après 404 Media, les hackers ont pu manipuler le chatbot pour changer l'adresse email associée aux comptes ciblés. Ils ont ensuite initié une réinitialisation de mot de passe sans qu'aucune vérification d'identité ne soit requise. Le chatbot a envoyé un code d'accès à l'adresse email des hackers, qui ont ensuite pu réinitialiser le mot de passe et prendre le contrôle des comptes. Une vidéo détaillant ce processus a été partagée sur X. En utilisant un VPN, les hackers ont simulé la localisation des victimes, rendant l'attaque encore plus efficace. À aucun moment, le hacker n'a eu besoin de l'adresse email ou du mot de passe original de l'utilisateur pour accéder aux comptes.

Instagram avait une faille qui permettait d'utiliser l'IA de Meta pour réinitialiser des mots de passe sur des comptes sans MFA (authentification multifactorielle). Cette faille a été corrigée récemment.

Des comptes de haut niveau pris pour cible

Parmi les comptes affectés se trouvent ceux du détaillant de maquillage Sephora et du sergent-maître de la US Space Force, John Bentivegna. Bien que le nombre total de comptes piratés reste incertain, de nombreux utilisateurs ont signalé des incidents similaires sur Reddit et X, y compris la chercheuse en sécurité Jane Wong. Elle a partagé son expérience sur X, expliquant que son mot de passe avait été changé à son insu, entraînant des déconnexions répétées de l'application Instagram.

"Le mot de passe a été changé sans que je le sache et je recevais différentes tentatives de réinitialisation de mot de passe tout au long de la journée d'hier," a déclaré Jane Wong sur X. "Et j'ai été déconnectée à plusieurs reprises de l'application [Instagram] iOS. C'est assez préoccupant."

L'impact de l'automatisation sur la sécurité

Le problème réside principalement dans le fait que le support client de Meta est désormais entièrement géré par une IA. Ce changement, introduit en mars, visait à fournir une assistance continue pour les problèmes de compte. Cependant, l'absence d'intervention humaine a permis aux hackers de mener des attaques d'ingénierie sociale sans être détectés. Les chercheurs en sécurité ZachXBT et Dark Web Informer ont été les premiers à révéler publiquement cette faille, après que plusieurs comptes de haut niveau ont été compromis. Dark Web Informer a suivi en temps réel la vente de ces comptes, certains étant proposés pour des sommes atteignant 1 million de dollars.

Réaction de Meta et mesures de sécurité

Un porte-parole d'Instagram, Andy Stone, a annoncé dans un post sur X que la faille avait été corrigée. Selon 404 Media, Meta travaille actuellement à sécuriser les comptes impactés. Pour se prémunir contre de telles attaques, il est fortement recommandé d'activer l'authentification multifactorielle (MFA), qui aurait pu empêcher cette faille. L'utilisation de passkeys et d'une adresse email privée peut également renforcer la sécurité des comptes.

Suivez Brief IA

L'actu IA du jour, aussi dans votre fil.

Commentaires