Tu veux les meilleurs outils IA avant les autres ?
On teste et on décrypte les nouveaux outils IA chaque soir, en 5 min. Gratuit.
Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.
Choisis ton rythme
Gratuit · Pas de spam · Désabonnement en 1 clic
Des cybercriminels ont réussi à exploiter une faille dans le chatbot d’assistance de Meta AI, compromettant ainsi des comptes Instagram de grande valeur. Avant que Meta ne corrige cette vulnérabilité, plusieurs comptes de personnalités publiques avaient déjà été piratés et revendus sur le marché parallèle pour des sommes considérables. Parmi les victimes, certains comptes compromis ont temporairement diffusé des messages à caractère politique avant d'être récupérés.
Selon les informations relayées par 404 Media, l'attaque reposait sur une méthode d'injection de requêtes relativement simple. Les pirates initiaient une procédure de réinitialisation du mot de passe, puis utilisaient un VPN pour simuler la localisation de la victime. Ils parvenaient ensuite à convaincre l'assistant IA de Meta de modifier l'adresse e-mail associée au compte, ce qui leur permettait de prendre le contrôle total du compte.
Des vidéos montrant cette méthode circulaient depuis quelque temps dans des groupes Telegram fréquentés par des hackers et des chercheurs en cybersécurité. Le média Neowin rapporte que cette faille était exploitée depuis plusieurs mois, probablement depuis février, et qu'elle aurait déjà permis le piratage de milliers de comptes Instagram.
L'affaire a pris une ampleur particulière après la compromission de comptes appartenant à des personnalités connues. Parmi eux figuraient les comptes @hey et @jowo, dont la valeur cumulée dépasserait le million de dollars sur le marché gris. Même des spécialistes reconnus de la sécurité informatique, comme Jane Manchun Wong, ont signalé avoir été touchés. Le problème est que même si les pirates ne conservent ces comptes que quelques jours, ils peuvent en tirer profit grâce à leur audience, leur potentiel de revente ou leur capacité à usurper l'identité de marques connues.
Le 31 mai, le chercheur en renseignement open source ZachXBT a dénoncé publiquement le système sur X. Selon lui, l’assistance Meta AI disposait de permissions excessives permettant de réinitialiser des mots de passe sans authentification à deux facteurs ni véritable vérification d’identité. ZachXBT a déclaré : "Il est probable qu'il y ait eu une énorme faille d'Instagram / Meta ce week-end qui vient d'être corrigée. En gros, le support Meta AI est défaillant et dispose de nombreuses permissions d'accès qui vous permettaient de réinitialiser les mots de passe de n'importe quel utilisateur sans 2FA et ne vérifiait pas qui vous êtes."
Le chercheur Dark Web Informer a décrit la même vulnérabilité, tout en précisant qu’un correctif avait finalement été déployé. Malgré tout, une protection simple permettait de bloquer l’attaque : l’authentification multifacteur. Même la version la plus basique reposant sur des codes envoyés par SMS suffisait généralement à empêcher la prise de contrôle. Les pirates eux-mêmes l’ont reconnu.
Au-delà du cas de Meta, cet incident soulève une question plus large. De nombreuses entreprises confient désormais à des agents IA des droits importants, ce qui leur permet de modifier des données sensibles ou des paramètres critiques. Or, lorsqu’un tel système est mal protégé, une simple manipulation peut parfois suffire à contourner les mécanismes de sécurité traditionnels. Ainsi, pour plusieurs experts, l’assistant de support basé sur Meta AI aurait dû intégrer des contrôles de sécurité supplémentaires.
Parmi les recommandations des spécialistes figurent une vérification indépendante avant toute modification des informations d’un compte, une surveillance renforcée des demandes jugées à risque, et une détection automatique des comportements inhabituels. Sans oublier les garde-fous stricts empêchant l’IA d’effectuer certaines actions sensibles sans validation humaine.

