L'agent IA de Meta a envoyé des emails de récupération de compte à n'importe qui, sans déclencher d'alerte SOC
L'agent de support basé sur l'intelligence artificielle de Meta a permis à des attaquants de prendre le contrôle de comptes Instagram en quelques minutes, sans déclencher la moindre alerte dans les systèmes de détection. Le mécanisme exploité est d'une simplicité déconcertante : l'attaquant active un VPN pour apparaître dans la région de sa cible, puis demande au chatbot de support d'associer une nouvelle adresse e-mail au compte ciblé et d'envoyer un code de vérification. Le bot s'exécute, transmet le code à usage unique directement à l'attaquant, qui finalise la réinitialisation du mot de passe et verrouille le propriétaire légitime. Brian Krebs a documenté la technique le 31 mai, après que des hackers pro-iraniens ont publié les enregistrements sur Telegram. La BBC a confirmé le déroulé depuis ces mêmes enregistrements. Parmi les comptes compromis figurent ceux de la marque Sephora, du sergent-chef John Bentivegna des forces spatiales américaines, de la chercheuse Jane Manchun Wong, et d'un compte dormant associé à la Maison Blanche sous Obama, qui a brièvement affiché une image dégradée. Meta conteste ce dernier cas et qualifie de "totalement faux" tout accès à des comptes de dirigeants.
Ce qui rend cet incident particulièrement préoccupant pour les équipes de sécurité, c'est l'absence totale de signal détectable. L'agent IA est un acteur autorisé : chaque modification qu'il effectue apparaît dans les journaux d'audit comme une transaction légitime. Aucune tentative de connexion anormale, aucun pic d'échecs d'authentification, aucune règle SIEM ne peut matcher une séquence qui, techniquement, ne ressemble pas à une attaque. L'attaque n'a pas contourné un contrôle, elle a emprunté un contrôle déjà jugé de confiance. La seule protection qui a tenu est l'authentification multifacteur : Krebs confirme que tous les comptes protégés par MFA, même par SMS, ont résisté. Pour les comptes demandant une vidéo selfie comme vérification d'identité, les attaquants ont soumis des clips générés par IA à partir de photos publiques de la cible, que Meta a acceptés comme valides.
L'incident illustre une faille architecturale qui dépasse Meta. La voie de récupération d'un compte existe précisément pour contourner les vérifications habituelles, au moment où un utilisateur n'a plus accès à ses identifiants normaux. Y placer un agent conversationnel avec un accès en écriture sur l'état d'authentification, sans contrôle déterministe entre une requête convaincante et un changement validé, revient à ouvrir une porte dérobée à côté de celle que MFA protège. Les chercheurs en sécurité qualifient ce schéma de "confused deputy" : un système de confiance trompé pour dépenser ses privilèges au bénéfice d'un attaquant. La conclusion s'impose : l'autorisation ne peut pas résider à l'intérieur du modèle de langage, qu'un système conversationnel peut convaincre de sauter une vérification. Elle doit exister en dehors, dans une barrière que l'agent ne peut pas raisonner pour franchir.
La marque française Sephora figure parmi les comptes Instagram compromis, et toute entreprise européenne ayant déployé des agents IA avec accès en écriture sur l'authentification est exposée au même schéma d'attaque 'confused deputy'.
Le "confused deputy", ça fait longtemps qu'on en parle en sécu, mais le voir tourner à l'échelle Instagram sans lever une seule alerte SIEM, c'est autre chose. La voie de récupération de compte existe précisément pour sauter les vérifications habituelles, et y poser un agent avec accès en écriture sur l'authentification, c'est offrir une porte de service à côté du blindage MFA. Reste à voir combien d'autres plateformes ont fait le même choix sans le documenter.
Vu une erreur factuelle dans cet article ? Signalez-la. Toutes les corrections valides sont publiées sur /corrections.
