MUMBAI : Une faille de sécurité majeure chez Meta a exposé 20 225 comptes Instagram à des pirates informatiques, a confirmé aujourd’hui la société dans une notification émise par l’État du Maine. La violation a été causée par une faille critique dans le système de récupération de compte assisté par IA de Meta, en particulier son outil High Touch Support (HTS), que les pirates ont utilisé pour obtenir un accès non autorisé.
La vulnérabilité, que Meta dit avoir découverte le 31 mai 2026, a permis à des acteurs malveillants de tromper un chatbot IA pour qu’il envoie des liens de réinitialisation de mot de passe à des adresses e-mail gérées par des pirates informatiques, au lieu des propriétaires de comptes légitimes. Cela a compromis les protocoles d’authentification de messagerie de Meta, permettant aux pirates informatiques de pirater même sans accéder à l’adresse e-mail enregistrée de la victime. Les rapports suggèrent que l’exploitation systématique de ce bug pourrait avoir commencé dès le 17 avril 2026. Bluesky Attie et Mastodon dirigent les applications sociales de nouvelle génération au-delà d’Instagram : rapport.
Comment il a travaillé
La méthode d’attaque était étonnamment simple. Les pirates peuvent lancer le processus de récupération du compte Instagram cible en se connectant à l’outil HTS optimisé par Meta AI. En modifiant le chatbot, ils peuvent le tromper pour qu’il connecte une nouvelle adresse e-mail, contrôlée par des criminels, au compte de la victime. Après cela, l’IA fournira un lien de réinitialisation du mot de passe vers l’e-mail nouvellement connecté, donnant ainsi aux pirates un contrôle total.
Dans certains cas, les attaquants utiliseraient des réseaux privés virtuels (VPN) pour usurper la localisation de la victime, contribuant ainsi à contourner les mesures de sécurité de Meta Security qui utilisent souvent la localisation comme jeton d’authentification. Bien que l’authentification à deux facteurs (2FA) soit souvent efficace pour empêcher de tels exploits, certains utilisateurs sans 2FA couraient un plus grand risque, et certains utilisateurs avec 2FA auraient quand même été compromis, soulignant la gravité de la faille.
Méta-réponses et impact
Suite à la découverte du bug, Meta a pris des mesures immédiates pour atténuer le risque. La société a désactivé l’outil vulnérable High Touch Support (HTS) et réinitialisé les mots de passe de tous les comptes Instagram concernés. De plus, tous les comptes compromis sont enregistrés dans un environnement d’authentification sécurisé, obligeant les utilisateurs à se réauthentifier via un processus sécurisé et authentifié pour retrouver l’accès. Meta a également introduit un examen détaillé des remboursements de comptes similaires sur ses autres plateformes afin d’éviter de futurs incidents.
La quantité d’informations volées est inconnue, mais Meta a révélé que les comptes compromis peuvent révéler des informations personnelles. Cela inclut les informations de contact telles que les adresses e-mail et les numéros de téléphone, les dates de naissance, l’historique (historique, photo de profil), le contenu des réseaux sociaux (photos, vidéos, actualités), les messages directs, l’historique des activités du compte et les informations sur les services connectés. Lewis Hamilton et Kim Kardashian provoquent une frénésie sur les réseaux sociaux après que le baiser du GP de Monaco soit devenu viral (regarder la vidéo)
Plusieurs comptes Instagram bien connus auraient été ciblés au cours de la campagne, notamment ceux associés à la Maison Blanche de Barack Obama, au détaillant de produits de beauté Sephora, au sergent-chef de l’US Space Force John Bentivegna et à la chercheuse en cybersécurité Jane Manchun Wong, entre autres. Cet événement met en évidence les risques croissants associés à l’intégration de l’IA dans les services critiques de sécurité et de support, suscitant un fort appel en faveur de l’IA pour gérer et valider les processus des plateformes numériques.
Clause de non-responsabilité: Les outils d’IA ont contribué à créer les bases et la recherche de ce rapport. Le contenu final a été revu, édité et vérifié par des éditeurs humains au cours des dernières années.
(L’histoire ci-dessus a été publiée pour la première fois sur NEWLY le 8 juin 2026 à 20h48 IST. Pour plus d’informations sur la politique, le monde, les sports, le divertissement et le style de vie, visitez notre site Web Latestly.com).
