34 000 comptes Instagram piratés avec l’aide du robot IA d’assistance de Meta

Des pirates ont piégé le chatbot Meta AI pour voler des comptes Instagram de célébrités

Des hackers ont exploité le chatbot d'assistance d'Meta pour s'emparer de comptes Instagram à forte valeur et les revendre sur le marché gris, avant qu'une mise à jour d'urgence ne soit déployée le 29 mai. La technique était d'une simplicité déconcertante : les attaquants utilisaient un VPN pour simuler une localisation proche de celle du compte ciblé, déclenchaient une procédure de réinitialisation de mot de passe, puis demandaient directement au chatbot de Meta de modifier l'adresse e-mail associée au compte. Des vidéos montrant l'exploit en action ont circulé sur des groupes Telegram fréquentés par des hackers et des chercheurs en sécurité, selon le site 404 Media. Parmi les comptes compromis figurent celui du compte institutionnel de la Maison-Blanche sous Barack Obama et celui du Chief Master Sergeant de la Space Force américaine, qui ont brièvement publié des images et messages pro-iraniens. La faille illustre un risque concret posé par l'intégration d'agents conversationnels dans des flux de support client sensibles : un simple message suffit à contourner les protections habituelles. Des comptes Instagram notables se négocient plusieurs centaines de milliers de dollars sur des marchés parallèles, ce qui rend ce vecteur d'attaque particulièrement lucratif. Pour les victimes, une prise de contrôle de ce type peut entraîner une atteinte à la réputation immédiate, comme l'ont démontré les publications pro-iraniennes diffusées depuis des comptes officiels américains. Il s'agit techniquement d'une attaque par injection de prompt : l'IA obéit à une instruction malveillante formulée en langage naturel, sans mécanisme de vérification d'identité suffisant. Ce type de vulnérabilité est documenté depuis plusieurs années dans la recherche en sécurité, mais sa présence dans un produit déployé à grande échelle par Meta souligne le défi que représente la sécurisation des assistants IA exposés au public. Meta a déployé un correctif d'urgence le 29 mai, mais l'incident relance le débat sur les garde-fous nécessaires lorsqu'un modèle de langage est habilité à effectuer des actions à fort impact sur des comptes utilisateurs réels.

💬 L'injection de prompt, c'est dans les papers depuis 2022. Que ça arrive en prod sur le chatbot support de Meta, avec la capacité de modifier l'email d'un compte à la simple demande, c'est moins une surprise qu'un aveu : personne n'a audité les permissions avant le déploiement. Le correctif est là, mais le problème de fond reste : un LLM autorisé à agir sur des comptes réels, c'est une surface d'attaque permanente.

La propre IA de Meta a été détournée pour pirater des comptes Instagram

Le chatbot d'assistance IA de Meta a été exploité par des hackers pour pirater des comptes Instagram, selon une enquête de 404 Media relayée par The Verge. Une vidéo diffusée sur Telegram montre la technique utilisée : un attaquant demandait simplement au chatbot de modifier l'adresse e-mail associée au compte d'une autre personne, puis déclenchait une réinitialisation du mot de passe pour en prendre le contrôle total. Meta affirme que la faille a depuis été corrigée. La découverte est particulièrement embarrassante pour Meta, car elle révèle que son propre outil d'aide aux utilisateurs pouvait être retourné contre eux sans contournement technique complexe. Le chatbot, censé simplifier la gestion des comptes, devenait ainsi une porte d'entrée pour des acteurs malveillants. Le cas le plus visible : le compte @obamawhitehouse sur Instagram, lié à l'administration Obama, a commencé à publier des images de propagande iranienne après avoir été compromis, attirant l'attention de milliers d'abonnés avant d'être repris en main. Cet incident illustre un risque émergent propre à l'intégration de l'IA dans les systèmes d'authentification et de support client : un modèle trop permissif peut être manipulé via des instructions en langage naturel, sans que les garde-fous traditionnels ne s'activent. Des comptes d'institutions américaines, dont celui du chef de l'US Space Force, auraient également été touchés dans la même vague. La faille soulève des questions sur la robustesse des contrôles d'identité dans les interfaces conversationnelles déployées à grande échelle.

Panique sur Instagram : l’IA de Meta offre les comptes de stars aux hackers

Des cybercriminels ont exploité une faille critique dans l'assistant IA de Meta pour compromettre des milliers de comptes Instagram, vraisemblablement depuis février 2026. La technique était d'une simplicité déconcertante : les pirates initiaient une procédure de réinitialisation de mot de passe, simulaient la localisation de la victime via un VPN, puis manipulaient le chatbot Meta AI pour qu'il modifie l'adresse e-mail associée au compte ciblé, ouvrant ainsi la voie à une prise de contrôle totale. Des tutoriels vidéo décrivant cette méthode circulaient depuis plusieurs semaines dans des groupes Telegram spécialisés. L'affaire a éclaté publiquement le 31 mai 2026, quand le chercheur en renseignement open source ZachXBT a dénoncé sur X les permissions excessives accordées à l'assistant Meta AI, lequel pouvait réinitialiser des mots de passe sans authentification à deux facteurs ni vérification d'identité sérieuse. Parmi les comptes compromis figuraient des handles de grande valeur comme @hey et @jowo, dont la valeur cumulée dépasserait le million de dollars sur le marché gris, ainsi que des comptes appartenant à des chercheurs en sécurité reconnus comme Jane Manchun Wong. Certains comptes détournés ont même diffusé brièvement des contenus à caractère politique avant d'être récupérés. L'impact est double : financier et réputationnel. Des comptes à forte audience ont été revendus à prix élevé ou exploités pour usurper l'identité de marques, le temps que Meta déploie un correctif. Les victimes ordinaires, elles, ont perdu l'accès à leurs profils sans recours immédiat. Ce qui rend l'incident particulièrement préoccupant, c'est qu'une protection élémentaire suffisait à bloquer l'attaque : l'activation de l'authentification multifacteur, même par simple SMS, rendait la manœuvre inefficace. Les pirates eux-mêmes l'ont reconnu publiquement. La vulnérabilité a donc touché en priorité les utilisateurs qui n'avaient pas activé cette couche de sécurité de base, souvent par méconnaissance ou par négligence. Cet incident illustre un risque systémique croissant : à mesure que les entreprises confient à des agents IA des droits d'action sur des données sensibles, la surface d'attaque s'élargit considérablement. Un assistant de support mal configuré peut devenir un point d'entrée aussi dangereux qu'une API mal protégée. Les experts en sécurité réclament désormais des architectures dans lesquelles les agents IA ne peuvent effectuer d'actions sensibles, comme modifier les identifiants d'un compte, qu'après une vérification indépendante et une validation humaine. Meta a corrigé la faille, mais l'affaire pose une question structurelle qui dépasse Instagram : qui surveille les droits accordés aux systèmes d'IA, et selon quels standards ? Le secteur tech n'a pas encore de réponse unifiée, et des incidents similaires sont prévisibles chez d'autres acteurs ayant déployé des assistants IA avec des permissions étendues.

💬 Un chatbot qui peut changer ton adresse email sans demander la moindre vérification, c'est pas une faille, c'est une décision de conception. Ce qui choque, c'est pas la technique des hackers (elle était triviale), c'est que personne chez Meta n'a posé la question au moment de déployer ces permissions. Ça va se reproduire ailleurs, chez tous ceux qui ont lâché des agents IA avec des droits d'action étendus et zéro gouvernance sérieuse derrière.

Meta révèle une faille du chatbot IA d'Instagram ayant potentiellement touché plus de 20 000 comptes

Meta a révélé pour la première fois l'ampleur d'une faille de sécurité dans son chatbot d'assistance IA pour Instagram : au moins 20 225 comptes ont été compromis. Pendant près de sept semaines, le système envoyait des liens de réinitialisation de mot de passe à des adresses e-mail arbitraires, sans vérifier qu'elles appartenaient bien au titulaire du compte concerné. Cette information a été divulguée publiquement par Meta dans le cadre de ses obligations de transparence sur les incidents de sécurité. La portée de l'incident est significative : un lien de réinitialisation de mot de passe envoyé à la mauvaise personne peut suffire à permettre une prise de contrôle totale d'un compte. Sur une plateforme comme Instagram, cela expose les utilisateurs à la perte de leur compte, à la divulgation de données personnelles et à d'éventuelles utilisations frauduleuses. L'ironie est d'autant plus cinglante que ce chatbot avait été présenté par Meta comme une avancée en matière de sécurité des comptes, censée simplifier et sécuriser les procédures de récupération. Ce type de faille illustre les risques concrets liés au déploiement précipité de systèmes d'IA dans des processus sensibles comme l'authentification. Meta, déjà sous pression réglementaire en Europe sur la protection des données, devra vraisemblablement répondre de cet incident auprès des autorités compétentes. Pour l'industrie, c'est un rappel que les chatbots IA intégrés à des flux de sécurité critiques exigent des niveaux de validation bien plus stricts que les usages conversationnels ordinaires.

💬 Sept semaines sans que personne ne repère qu'un chatbot envoie des liens de reset à la mauvaise adresse, ça dit tout sur la rigueur du monitoring mis en place. Ce bot était pourtant vendu comme une amélioration de la sécurité des comptes, et il faisait exactement l'inverse depuis le premier jour. Va falloir s'expliquer côté RGPD, et cette fois les excuses sur "un incident isolé" vont avoir du mal à passer.