Meta a annoncé que plus de 20 000 comptes Instagram ont été piratés lors d’un incident récent. Les attaquants ont exploité une faille dans l’outil d’assistance automatisé de la société pour réinitialiser les mots de passe.
Comme l’a rapporté BleepingComputer la semaine dernière, les pirates ont utilisé une vulnérabilité dans le système High Touch Support (HTS). Cet outil, qui intègre une intelligence artificielle, aide les utilisateurs à regagner l’accès à leurs comptes Instagram verrouillés.
Ils ont exploité le fait que le HTS ne vérifiait pas si les adresses email étaient bien liées aux comptes Instagram ciblés. Cela leur a permis d’obtenir des liens de réinitialisation de mot de passe. Ils ont ainsi pu se connecter et prendre le contrôle des comptes qui n’avaient pas activé l’authentification à deux facteurs.
Après une vague de signalements d’utilisateurs sur les réseaux sociaux, Andy Stone, vice-président de la communication de Meta, a répondu à l’une des personnes touchées. Il a indiqué que « le problème a été résolu, et nous sécurisons les comptes impactés ».
Meta a fourni des précisions dans une lettre adressée au bureau du procureur général du Maine. La société y écrit : « Nous vous informons qu’une vulnérabilité dans un outil de récupération de compte Instagram a été utilisée pour compromettre potentiellement les comptes Instagram de 30 utilisateurs dans votre juridiction. Tous les comptes ont été sécurisés pour empêcher tout accès non autorisé continu ».
« Le 31 mai 2026, Meta a découvert une vulnérabilité dans un système de récupération de compte assisté par IA pour Instagram. Des tiers non autorisés ont exploité cette faille pour effectuer des réinitialisations de mot de passe sur des comptes d’utilisateurs Instagram », explique la lettre.
Meta n’a pas précisé quand les attaques ont commencé. Cependant, le dépôt sur le site du procureur du Maine indique que la violation s’est produite le 17 avril, date probable de la première attaque qui a exploité la faille du HTS.
La société a déclaré ne pas avoir d’informations sur les données personnelles qui auraient pu être consultées ou volées. Elle a noté que les attaquants auraient pu accéder aux coordonnées des utilisateurs touchés, à leur date de naissance, à leurs publications et contenus, aux messages directs, à l’historique d’activité du compte, aux informations de profil, ainsi qu’à d’autres comptes et services liés.
Après la découverte de l’incident, l’entreprise a désactivé le système d’assistance HTS et tous les liens de réinitialisation de mot de passe qu’il avait générés. Cette mesure visait à bloquer toute tentative de prise de contrôle faisant partie de la même campagne malveillante.
Meta a aussi soumis tous les comptes potentiellement volés à un point de contrôle de sécurité obligatoire. Elle a demandé à tous les utilisateurs affectés de réinitialiser à nouveau leur mot de passe et de se ré-authentifier pour sécuriser et reprendre le contrôle de leurs comptes.
« Avant de relancer l’outil, Meta corrigera la vérification d’authentification au point d’entrée de récupération Instagram. Cela garantira une vérification correcte des adresses email par rapport aux informations de compte existantes avant toute réinitialisation de mot de passe », a ajouté Meta. « De plus, Meta mène un examen complet des procédures de récupération de compte similaires sur toutes ses plateformes. L’objectif est d’identifier et de corriger tout problème potentiel. »
Avant cet incident, l’Irlande avait déjà infligé une amende de 264 millions de dollars à Meta pour une violation de données survenue en 2018. Cette fuite avait exposé les noms, adresses email, numéros de téléphone et localisations physiques de plus de 29 millions de comptes Facebook.
Meta avait également été condamnée à une amende de 265 millions d’euros en novembre 2022. Ce jugement faisait suite à son incapacité à protéger les données des utilisateurs Facebook contre le raclage. Une autre amende de 91 millions d’euros lui avait été infligée pour avoir stocké en texte clair les mots de passe de centaines de millions d’utilisateurs.