Des pirates ont détourné les comptes de plusieurs utilisateurs d’Instagram. Ils ont réussi à convaincre les outils d’assistance de Meta, qui fonctionnent grâce à l’intelligence artificielle, qu’ils étaient les propriétaires légitimes.
Dans de nombreux cas, les utilisateurs concernés ne parviennent pas à retrouver l’accès. La plateforme utilise un système d’assistance automatisé qui se résume à des boucles de dialogue avec une IA ou un chatbot, sans agent de support humain.
Lundi, de nombreux détenteurs de comptes rares et à forte valeur ont signalé une perte soudaine d’accès. Ils affirment pourtant avoir activé des protections comme l’authentification à deux facteurs (2FA) et avoir vérifié leur identité par des analyses faciales.
Parmi les comptes touchés figuraient un ancien compte utilisé par l’équipe de la Maison Blanche d’Obama, un compte appartenant à la chercheuse en applications Jane Manchun Wong, ainsi que les comptes @hey et @korn.
Le propriétaire du compte @korn, qui précise que le groupe musical n’a jamais revendiqué ce compte officiellement et en utilise un autre, a exprimé son irritation face au mécanisme de récupération de Meta, qui l’a fait tourner en rond.
« J’ai passé 6 heures à essayer d’obtenir un support humain, et l’IA de support de Meta m’a donné 4 liens cassés à la suite », a expliqué l’utilisateur qui se présente comme Kornel.
« On en est au point où une IA a volé le compte, et une autre ne peut pas le réparer, sans aucun humain dans la boucle », a déclaré le propriétaire du compte @korn.
Selon certains reporters, les attaques de détournement de compte étaient simples. Elles consistaient à dialoguer avec l’assistant IA de Meta, à le convaincre que l’attaquant était le véritable propriétaire du compte, et à le tromper pour qu’il change l’adresse e-mail associée.
Le processus de prise de contrôle commence lorsque le pirate déclenche la procédure « mot de passe oublié », en prétendant que le compte est piraté. Lorsque l’assistance d’Instagram, pilotée par l’IA, demande à l’utilisateur de vérifier son identité avec un selfie, l’attaquant utilise une photo du profil de la cible. Il la fait passer par un générateur vidéo IA pour la transformer en animation, puis la téléverse chez Meta pour la vérification.
L’utilisateur André affirme que « l’IA de Meta accepte simplement la vidéo parce qu’elle ne peut pas faire la différence entre un vrai selfie et une vidéo générée par IA d’un visage. » Il a aussi ajouté que cette méthode de prise de contrôle contourne les protections de l’authentification à deux facteurs.
« Ensuite, vous essayez de récupérer votre compte, et vous parlez à un chatbot qui n’a aucune capacité à aider. Vous ne pouvez pas demander un humain. Vous êtes coincé. Votre bien a disparu, et il n’y a personne à appeler », a dit André.
Certains rapports affirment que les attaquants ont utilisé des services de VPN pour paraître connectés depuis la région habituelle de la cible. Cela leur permet de passer les vérifications de géolocalisation qui déclencheraient normalement un processus de connexion plus complexe pour plus de sécurité.
Source : @thecomfeed
Après avoir changé l’adresse e-mail, le pirate peut lancer une réinitialisation de mot de passe et recevoir le code de sécurité nécessaire pour accéder au compte.
Certains rapports en ligne affirment que les comptes @e et @f, à une seule lettre sur Instagram, ont été obtenus grâce à une faille exploitée activement. D’autres contestent cette information, en argumentant que ces noms d’utilisateur ont été sécurisés par une personne disposant de privilèges internes. Aucune de ces affirmations n’a pu être vérifiée de manière indépendante.
Les comptes de médias sociaux à une seule lettre sont très rares. Ils ont donc une forte valeur sur le marché noir, souvent de l’ordre de plusieurs dizaines de milliers de dollars américains.
Meta n’a pas encore publié de communiqué pour répondre officiellement à la situation. Cependant, le vice-président des communications de l’entreprise, Andy Stone, a répondu sur les réseaux sociaux à un utilisateur affecté. Il a déclaré que « le problème a été résolu et que nous sécurisons les comptes impactés. »
Une demande de commentaire a été adressée à Meta, mais aucune réponse n’a été reçue avant la publication de cet article.