Le chatbot IA de Meta a ouvert la porte aux hackers sur Instagram
charles
Publié le 02 June 2026 · 3 min de lecture
Un outil de support lancé par Meta pour simplifier la récupération de comptes a été exploité par des hackers pour s'emparer de comptes Instagram. La faille a été signalée par plusieurs chercheurs en sécurité au cours du week-end du 1er juin 2026.
Meta a confirmé avoir corrigé le problème, mais le nombre de comptes compromis avant le correctif reste inconnu. La vulnérabilité était discutée sur Telegram depuis au moins mars 2026, selon le site 404 Media.
A lire aussi
- Gemini 3.5 Flash : Google facture désormais 5,5 fois plus cher qu’avant
- Pourquoi la fonction de sécurité du Pixel rend la conduite plus dangereuse
Comment la faille fonctionnait
L'assistant IA de support de Meta s'appuyait sur la localisation physique de l'utilisateur pour autoriser certaines actions de récupération de compte. Les hackers ont contourné cette vérification en utilisant un VPN pour simuler une localisation correspondant à celle de la victime ciblée.
Une fois cette correspondance établie, il suffisait de demander au chatbot de modifier l'adresse e-mail associée au compte, puis de lancer une réinitialisation du mot de passe. La double authentification ne constituait pas un obstacle dans ce schéma d'attaque.
Des captures d'écran et des vidéos montrant des prises de contrôle de comptes en temps réel circulaient sur Telegram, selon les chercheurs ayant signalé l'exploit. Meta avait présenté cet outil en décembre en précisant que ses systèmes reconnaissaient l'appareil habituel et les localisations familières de chaque utilisateur.
Des comptes connus parmi les victimes
La période d'exploitation coïncide avec plusieurs piratages de comptes à forte visibilité. Parmi eux figure un compte lié à la Maison-Blanche de l'ère Obama, inactif depuis 2017, qui a publié une image générée par IA à contenu politique.
D'autres comptes potentiellement touchés incluent celui du groupe de cosmétiques Sephora et celui d'un haut responsable de la Space Force américaine, d'après 404 Media. Meta a confirmé le piratage du compte Obama à TMZ sans fournir de détails sur les responsables ni sur le mode opératoire précis.
La réponse de Meta
Andy Stone, vice-président de la communication chez Meta, a indiqué via X que la faille avait été corrigée et que les comptes affectés étaient en cours de sécurisation. Meta n'a pas fourni d'explication sur les raisons pour lesquelles l'outil de support présentait une telle vulnérabilité.
L'entreprise n'a pas non plus précisé combien de comptes ont été compromis ni depuis combien de temps la faille était active avant d'être signalée publiquement.
Cet incident soulève des questions sur les risques liés à l'intégration de l'IA dans des processus sensibles comme la récupération de compte, où la facilité d'accès peut entrer en conflit direct avec la sécurité des utilisateurs.
