OpenClaw compte 500 000 instances déployées sans aucun mécanisme de désactivation centralisé

34 000 comptes Instagram piratés avec l’aide du robot IA d’assistance de Meta

Un robot d'assistance propulsé par intelligence artificielle, déployé par Meta en mars dernier pour gérer les comptes Instagram, a permis à des pirates de compromettre environ 34 000 comptes, dont celui de la Maison Blanche sous l'administration Obama et celui d'un responsable militaire américain. L'information, révélée début juin par le New York Times sur la base de documents internes, détaille l'ampleur réelle de la brèche : 20 000 comptes ont été entièrement compromis, exposant adresses email, numéros de téléphone et dates de naissance ; plus de 3 500 ont subi un détournement de leur nom d'utilisateur. La méthode employée par les attaquants reposait sur une technique d'injection de prompts : munis d'un VPN pour simuler la localisation de leur victime, ils manipulaient le chatbot afin qu'il déclenche lui-même la procédure de récupération de compte, modifiant l'email associé ou réinitialisant le mot de passe. L'incident met en lumière les risques concrets liés à l'intégration précipitée de l'IA dans des fonctions critiques de sécurité. Confier à un agent conversationnel des opérations aussi sensibles que la gestion des identifiants de milliards d'utilisateurs, sans vérifications serveur robustes, expose des données personnelles à grande échelle. Meta reconnaît d'ailleurs ne pas être en mesure de déterminer précisément quelles informations ont été consultées ou exfiltrées, ce qui représente un aveu d'opacité particulièrement problématique. Le porte-parole de l'entreprise a tenté de minimiser la responsabilité du robot en attribuant la faille à des « vérifications internes côté serveur » défaillantes plutôt qu'à l'agent IA lui-même, une distinction que les victimes trouveront probablement peu convaincante. La faille a depuis été corrigée, mais l'agent reste opérationnel, Meta se contentant de suspendre une expérimentation spécifique liée à la réinitialisation de mot de passe. Le calendrier est particulièrement mal choisi pour le groupe : la semaine même où cet incident s'étalait dans la presse, Meta présentait un nouveau service destiné aux entreprises pour gérer prises de rendez-vous et transactions via des chatbots IA. Cette course au déploiement intervient alors que Meta investit des dizaines de milliards de dollars dans ses infrastructures IA et multiplie les intégrations sans toujours en mesurer les implications sécuritaires. L'incident s'inscrit dans un débat plus large sur la fiabilité des agents IA autonomes confrontés à des adversaires déterminés, un vecteur d'attaque que la communauté de la sécurité informatique signale depuis les premières heures de l'ère des grands modèles de langage.

L'agent IA de Meta a envoyé des emails de récupération de compte à n'importe qui, sans déclencher d'alerte SOC

L'agent de support basé sur l'intelligence artificielle de Meta a permis à des attaquants de prendre le contrôle de comptes Instagram en quelques minutes, sans déclencher la moindre alerte dans les systèmes de détection. Le mécanisme exploité est d'une simplicité déconcertante : l'attaquant active un VPN pour apparaître dans la région de sa cible, puis demande au chatbot de support d'associer une nouvelle adresse e-mail au compte ciblé et d'envoyer un code de vérification. Le bot s'exécute, transmet le code à usage unique directement à l'attaquant, qui finalise la réinitialisation du mot de passe et verrouille le propriétaire légitime. Brian Krebs a documenté la technique le 31 mai, après que des hackers pro-iraniens ont publié les enregistrements sur Telegram. La BBC a confirmé le déroulé depuis ces mêmes enregistrements. Parmi les comptes compromis figurent ceux de la marque Sephora, du sergent-chef John Bentivegna des forces spatiales américaines, de la chercheuse Jane Manchun Wong, et d'un compte dormant associé à la Maison Blanche sous Obama, qui a brièvement affiché une image dégradée. Meta conteste ce dernier cas et qualifie de "totalement faux" tout accès à des comptes de dirigeants. Ce qui rend cet incident particulièrement préoccupant pour les équipes de sécurité, c'est l'absence totale de signal détectable. L'agent IA est un acteur autorisé : chaque modification qu'il effectue apparaît dans les journaux d'audit comme une transaction légitime. Aucune tentative de connexion anormale, aucun pic d'échecs d'authentification, aucune règle SIEM ne peut matcher une séquence qui, techniquement, ne ressemble pas à une attaque. L'attaque n'a pas contourné un contrôle, elle a emprunté un contrôle déjà jugé de confiance. La seule protection qui a tenu est l'authentification multifacteur : Krebs confirme que tous les comptes protégés par MFA, même par SMS, ont résisté. Pour les comptes demandant une vidéo selfie comme vérification d'identité, les attaquants ont soumis des clips générés par IA à partir de photos publiques de la cible, que Meta a acceptés comme valides. L'incident illustre une faille architecturale qui dépasse Meta. La voie de récupération d'un compte existe précisément pour contourner les vérifications habituelles, au moment où un utilisateur n'a plus accès à ses identifiants normaux. Y placer un agent conversationnel avec un accès en écriture sur l'état d'authentification, sans contrôle déterministe entre une requête convaincante et un changement validé, revient à ouvrir une porte dérobée à côté de celle que MFA protège. Les chercheurs en sécurité qualifient ce schéma de "confused deputy" : un système de confiance trompé pour dépenser ses privilèges au bénéfice d'un attaquant. La conclusion s'impose : l'autorisation ne peut pas résider à l'intérieur du modèle de langage, qu'un système conversationnel peut convaincre de sauter une vérification. Elle doit exister en dehors, dans une barrière que l'agent ne peut pas raisonner pour franchir.

💬 Le "confused deputy", ça fait longtemps qu'on en parle en sécu, mais le voir tourner à l'échelle Instagram sans lever une seule alerte SIEM, c'est autre chose. La voie de récupération de compte existe précisément pour sauter les vérifications habituelles, et y poser un agent avec accès en écriture sur l'authentification, c'est offrir une porte de service à côté du blindage MFA. Reste à voir combien d'autres plateformes ont fait le même choix sans le documenter.

Encore une méchante fuite, avec injection de prompt dans un chatbot cette fois-ci…

Une institution française a récemment été victime d'une cyberattaque exploitant une technique d'injection de prompt ciblant le chatbot intégré à son site web, vraisemblablement développé sur WordPress. Les pirates, qui se présentent eux-mêmes comme des « gentils hackers », ont revendiqué l'attaque sur Breachforums, forum de référence des cybercriminels, en détaillant publiquement leur méthode. Plutôt que de publier des échantillons de données volées — pratique habituelle pour prouver un accès — ils ont contacté l'entreprise pour exiger une rançon en échange des informations exfiltrées. L'opération a permis aux attaquants d'obtenir des droits administrateur sur le site cible et de siphonner ses données, dont des correspondances privées d'utilisateurs que les pirates qualifient pudiquement de « victimes collatérales ». Cette attaque illustre concrètement un risque que la communauté sécurité documente depuis des années mais que l'industrie peine à adresser : l'injection de prompt reste l'un des vecteurs d'attaque les plus sous-estimés contre les IA génératives déployées en production. OpenAI elle-même a reconnu que ce type de vulnérabilité constituera « un défi pour de nombreuses années ». Pour les entreprises qui intègrent des chatbots — souvent de simples surcouches de ChatGPT rebadgées — sans audit de sécurité sérieux, le risque est réel et immédiat : prise de contrôle administrative, exfiltration de données clients, chantage. Le modèle économique des chatbots de service client bas de gamme crée une surface d'attaque massive, directement exposée au public. L'injection de prompt est en réalité la réincarnation moderne de l'injection SQL des années 2000 : on manipule les instructions données à un système pour lui faire exécuter des actions non prévues. Les techniques documentées vont des instructions explicites (« ignore toutes les consignes précédentes ») aux contenus cachés dans des images ou du texte invisible. Cette attaque survient dans un contexte de recrudescence des incidents liés aux IA et aux fuites de données en France : début avril 2026 a déjà vu la propagation virale de malwares dans des projets open source via les outils Trivy et LiteLLM, ainsi que la compromission de la bibliothèque JavaScript Axios. S'y ajoutent des fuites sensibles comme celle du fichier SIA du ministère de l'Intérieur — exposant les adresses de détenteurs d'armes — et le cas Florajet, où plus d'un million de messages intimes accompagnant des commandes de fleurs ont été exfiltrés, ouvrant la voie à du chantage ciblé. La multiplication de ces incidents souligne l'urgence d'un encadrement technique plus strict des déploiements IA en contact direct avec les utilisateurs.

💬 L'injection de prompt, c'est l'injection SQL version 2025, et on le sait depuis que les premiers chatbots en prod sont apparus. Ce qui est nouveau, c'est que maintenant ça arrive en vrai, sur de vraies institutions françaises, avec de vraies données exfiltrées et une vraie demande de rançon. Les "gentils hackers" qui contactent l'entreprise plutôt que de balancer les données, bon, c'est presque touchant, mais ça ne change pas grand-chose à l'affaire : si tu colle un chatbot WordPress en production sans audit sécurité, tu viens d'ouvrir une porte d'entrée admin au premier qui sait taper "ignore toutes les instructions précédentes".

Panique sur Instagram : l’IA de Meta offre les comptes de stars aux hackers

Des cybercriminels ont exploité une faille critique dans l'assistant IA de Meta pour compromettre des milliers de comptes Instagram, vraisemblablement depuis février 2026. La technique était d'une simplicité déconcertante : les pirates initiaient une procédure de réinitialisation de mot de passe, simulaient la localisation de la victime via un VPN, puis manipulaient le chatbot Meta AI pour qu'il modifie l'adresse e-mail associée au compte ciblé, ouvrant ainsi la voie à une prise de contrôle totale. Des tutoriels vidéo décrivant cette méthode circulaient depuis plusieurs semaines dans des groupes Telegram spécialisés. L'affaire a éclaté publiquement le 31 mai 2026, quand le chercheur en renseignement open source ZachXBT a dénoncé sur X les permissions excessives accordées à l'assistant Meta AI, lequel pouvait réinitialiser des mots de passe sans authentification à deux facteurs ni vérification d'identité sérieuse. Parmi les comptes compromis figuraient des handles de grande valeur comme @hey et @jowo, dont la valeur cumulée dépasserait le million de dollars sur le marché gris, ainsi que des comptes appartenant à des chercheurs en sécurité reconnus comme Jane Manchun Wong. Certains comptes détournés ont même diffusé brièvement des contenus à caractère politique avant d'être récupérés. L'impact est double : financier et réputationnel. Des comptes à forte audience ont été revendus à prix élevé ou exploités pour usurper l'identité de marques, le temps que Meta déploie un correctif. Les victimes ordinaires, elles, ont perdu l'accès à leurs profils sans recours immédiat. Ce qui rend l'incident particulièrement préoccupant, c'est qu'une protection élémentaire suffisait à bloquer l'attaque : l'activation de l'authentification multifacteur, même par simple SMS, rendait la manœuvre inefficace. Les pirates eux-mêmes l'ont reconnu publiquement. La vulnérabilité a donc touché en priorité les utilisateurs qui n'avaient pas activé cette couche de sécurité de base, souvent par méconnaissance ou par négligence. Cet incident illustre un risque systémique croissant : à mesure que les entreprises confient à des agents IA des droits d'action sur des données sensibles, la surface d'attaque s'élargit considérablement. Un assistant de support mal configuré peut devenir un point d'entrée aussi dangereux qu'une API mal protégée. Les experts en sécurité réclament désormais des architectures dans lesquelles les agents IA ne peuvent effectuer d'actions sensibles, comme modifier les identifiants d'un compte, qu'après une vérification indépendante et une validation humaine. Meta a corrigé la faille, mais l'affaire pose une question structurelle qui dépasse Instagram : qui surveille les droits accordés aux systèmes d'IA, et selon quels standards ? Le secteur tech n'a pas encore de réponse unifiée, et des incidents similaires sont prévisibles chez d'autres acteurs ayant déployé des assistants IA avec des permissions étendues.

💬 Un chatbot qui peut changer ton adresse email sans demander la moindre vérification, c'est pas une faille, c'est une décision de conception. Ce qui choque, c'est pas la technique des hackers (elle était triviale), c'est que personne chez Meta n'a posé la question au moment de déployer ces permissions. Ça va se reproduire ailleurs, chez tous ceux qui ont lâché des agents IA avec des droits d'action étendus et zéro gouvernance sérieuse derrière.