Instagram : Meta reconnaît le piratage de 20 225 comptes via son propre outil IA
Ce n’est pas un hacker de génie qui a forcé les portes. C’est Meta qui les a laissées ouvertes — pendant près de sept semaines.
Le 8 juin 2026, la société a officiellement notifié le procureur général de l’État du Maine (États-Unis) qu’une faille dans son outil de support IA, baptisé **High Touch Support (HTS)**, a permis à des tiers non autorisés de s’emparer de **20 225 comptes Instagram**. Les sources qui ont suivi l’affaire — BleepingComputer, SecurityWeek, TechRadar, Help Net Security, Cybernews — convergent sur les mêmes chiffres et le même mécanisme. Le dossier est solide.
Ce qu’est High Touch Support — et ce qu’il était censé faire
HTS est un système d’assistance assisté par IA conçu pour aider les utilisateurs Instagram à récupérer l’accès à un compte dont ils ont été verrouillés. Le principe : l’utilisateur contacte le support, fournit une adresse mail, et reçoit un lien de réinitialisation de mot de passe.
Simple, pratique — et manifestement, mal sécurisé.
La faille : un bug de vérification, pas un génie du clavier
La faiblesse n’était pas dans l’IA elle-même. Elle résidait dans un chemin de code secondaire (*separate code path*, selon les termes exacts de Meta). Quand un utilisateur demandait un lien de réinitialisation via HTS, le système **ne vérifiait pas** que l’adresse mail fournie correspondait bien à celle associée au compte ciblé.
Conséquence : un attaquant pouvait renseigner n’importe quelle adresse mail sous son contrôle, cibler le compte d’une autre personne, et recevoir le lien de réinitialisation directement dans sa boîte. Si la victime n’avait pas activé la **double authentification (2FA)**, le compte était compromis en quelques secondes.
Amber Hannah, avocate générale chargée de la réponse aux incidents chez Meta, résume la chose dans la notification officielle : *“L’outil fonctionnait correctement et comme prévu ; cependant, en raison d’un bug dans un chemin de code distinct, le système n’a pas correctement vérifié que l’adresse mail fournie correspondait à celle associée au compte Instagram.”*
La chronologie qui pose problème
– 17 avril 2026 : date de l’incident telle qu’elle figure dans le dépôt auprès du procureur général du Maine — soit la première exploitation connue de la faille.
– 31 mai 2026 : date à laquelle Meta déclare avoir *découvert* la vulnérabilité.
– 8 juin 2026 : notification officielle aux autorités et communication publique.
Soit plus de six semaines entre le premier accès non autorisé et la détection. Des signalements avaient pourtant circulé sur Reddit, X et Telegram bien avant la prise de parole officielle de Meta.
Parmi les comptes touchés, des profils à forte visibilité ont été identifiés : le compte Instagram de la Maison Blanche sous l’ère Obama, celui de Sephora, et celui du Sergent-chef en chef de l’US Space Force.
Ce que Meta a fait après
Dès la découverte :
– HTS désactivé immédiatement.
– Tous les liens de réinitialisation générés via l’outil invalidés.
– Les comptes potentiellement compromis placés derrière un contrôle de sécurité obligatoire : les utilisateurs doivent réinitialiser leur mot de passe et se réauthentifier pour récupérer l’accès.
– Engagement public : corriger la vérification des adresses mail dans le parcours de récupération Instagram avant tout relancement de HTS, et auditer les procédures similaires sur les autres plateformes du groupe.
Ce que Meta ne sait pas (encore)
La société indique ne pas avoir de preuve confirmant quelles données ont été effectivement consultées dans les comptes compromis. En théorie, les informations exposées pouvaient inclure : adresses mail et numéros de téléphone, dates de naissance, photos, vidéos, stories, messages directs, activité du compte, informations de profil et services liés.
Ce qu’il faut retenir — et faire maintenant
Cette affaire n’est pas un piratage de haute voltige. C’est un bug de validation d’entrée dans un outil de support — le genre de faille que les développeurs apprennent à éviter en première année. Ce qui rend l’incident particulièrement préoccupant, c’est que l’outil concerné est précisément celui auquel on fait appel quand on a déjà perdu le contrôle de son compte. C’est le filet de sécurité qui avait un trou.
Si tu as un compte Instagram :
1. Active la double authentification maintenant, si ce n’est pas fait. C’est la seule mesure qui aurait bloqué cette attaque.
2. Vérifie l’adresse mail associée à ton compte dans les paramètres (Compte > Informations personnelles). Si elle t’est inconnue, agis immédiatement.
3. Consulte l’activité de connexion dans les paramètres de sécurité d’Instagram pour détecter tout accès suspect.
(Sources vérifiées : BleepingComputer (8 juin 2026), SecurityWeek (8 juin 2026), TechRadar (8 juin 2026), Help Net Security (8 juin 2026), Cybernews (8 juin 2026), TechNadu (8 juin 2026), Clubic (8 juin 2026). Notification officielle : Office of the Maine Attorney General.)
Level 50, la mise à jour quotidienne pour rester connecté