Brief IA : Meta AI compromis : comptes Instagram de stars piratés

Meta AI compromis : comptes Instagram de stars piratés

Brief IA
Tom Levy·3 min·3 vues

Plus de 50 comptes de célébrités sur Instagram ont été compromis par des cybercriminels exploitant une faille dans le chatbot d’assistance de Meta AI. Cette crise de sécurité majeure met en lumière la vulnérabilité des systèmes d'IA et pourrait entraîner une perte de confiance des utilisateurs envers les plateformes sociales.

En bref
1Des cybercriminels ont exploité une faille dans le chatbot de Meta AI pour pirater des comptes Instagram de célébrités.
2L'attaque a permis de revendre des comptes pour des sommes élevées, certains dépassant le million de dollars.
3La faille, exploitée depuis février, a été corrigée, mais des milliers de comptes ont été compromis.
💡Pourquoi c'est importantCet incident met en lumière les risques liés aux permissions excessives accordées aux IA dans la gestion de données sensibles.
Le brief IA que lisent les pros

Tu veux les meilleurs outils IA avant les autres ?

On teste et on décrypte les nouveaux outils IA chaque soir, en 5 min. Gratuit.

Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.

Choisis ton rythme

Gratuit · Pas de spam · Désabonnement en 1 clic

📄
L'analyse en français

Des cybercriminels ont réussi à exploiter une faille dans le chatbot d’assistance de Meta AI, compromettant ainsi des comptes Instagram de grande valeur. Avant que Meta ne corrige cette vulnérabilité, plusieurs comptes de personnalités publiques avaient déjà été piratés et revendus sur le marché parallèle pour des sommes considérables. Parmi les victimes, certains comptes compromis ont temporairement diffusé des messages à caractère politique avant d'être récupérés.

Selon les informations relayées par 404 Media, l'attaque reposait sur une méthode d'injection de requêtes relativement simple. Les pirates initiaient une procédure de réinitialisation du mot de passe, puis utilisaient un VPN pour simuler la localisation de la victime. Ils parvenaient ensuite à convaincre l'assistant IA de Meta de modifier l'adresse e-mail associée au compte, ce qui leur permettait de prendre le contrôle total du compte.

Des vidéos montrant cette méthode circulaient depuis quelque temps dans des groupes Telegram fréquentés par des hackers et des chercheurs en cybersécurité. Le média Neowin rapporte que cette faille était exploitée depuis plusieurs mois, probablement depuis février, et qu'elle aurait déjà permis le piratage de milliers de comptes Instagram.

L'affaire a pris une ampleur particulière après la compromission de comptes appartenant à des personnalités connues. Parmi eux figuraient les comptes @hey et @jowo, dont la valeur cumulée dépasserait le million de dollars sur le marché gris. Même des spécialistes reconnus de la sécurité informatique, comme Jane Manchun Wong, ont signalé avoir été touchés. Le problème est que même si les pirates ne conservent ces comptes que quelques jours, ils peuvent en tirer profit grâce à leur audience, leur potentiel de revente ou leur capacité à usurper l'identité de marques connues.

Le 31 mai, le chercheur en renseignement open source ZachXBT a dénoncé publiquement le système sur X. Selon lui, l’assistance Meta AI disposait de permissions excessives permettant de réinitialiser des mots de passe sans authentification à deux facteurs ni véritable vérification d’identité. ZachXBT a déclaré : "Il est probable qu'il y ait eu une énorme faille d'Instagram / Meta ce week-end qui vient d'être corrigée. En gros, le support Meta AI est défaillant et dispose de nombreuses permissions d'accès qui vous permettaient de réinitialiser les mots de passe de n'importe quel utilisateur sans 2FA et ne vérifiait pas qui vous êtes."

Le chercheur Dark Web Informer a décrit la même vulnérabilité, tout en précisant qu’un correctif avait finalement été déployé. Malgré tout, une protection simple permettait de bloquer l’attaque : l’authentification multifacteur. Même la version la plus basique reposant sur des codes envoyés par SMS suffisait généralement à empêcher la prise de contrôle. Les pirates eux-mêmes l’ont reconnu.

Au-delà du cas de Meta, cet incident soulève une question plus large. De nombreuses entreprises confient désormais à des agents IA des droits importants, ce qui leur permet de modifier des données sensibles ou des paramètres critiques. Or, lorsqu’un tel système est mal protégé, une simple manipulation peut parfois suffire à contourner les mécanismes de sécurité traditionnels. Ainsi, pour plusieurs experts, l’assistant de support basé sur Meta AI aurait dû intégrer des contrôles de sécurité supplémentaires.

Parmi les recommandations des spécialistes figurent une vérification indépendante avant toute modification des informations d’un compte, une surveillance renforcée des demandes jugées à risque, et une détection automatique des comportements inhabituels. Sans oublier les garde-fous stricts empêchant l’IA d’effectuer certaines actions sensibles sans validation humaine.

Suivez Brief IA

L'actu IA du jour, aussi dans votre fil.

Commentaires