Instagram a corrigé une faille de sécurité critique qui a permis à des pirates de s'approprier plusieurs comptes en trompant son chatbot d'assistance alimenté par l'IA de Meta. L'attaque, révélée au début de la semaine, exploitait une vulnérabilité du support technique automatisé pour contourner les protections habituelles sans avoir à compromettre les adresses e-mail liées aux victimes. Au cours du week-end, plusieurs utilisateurs se sont plaints sur Reddit et X d'avoir vu leurs comptes Instagram piratés. Parmi les victimes, on notait le compte officiel de la Maison Blanche de l'époque Obama, inactif depuis 2017, ainsi que celui du sergent-chef de l'Armée de l'air américaine John Bentinvegna. La chercheuse en sécurité Jane Wong a également confirmé que son propre compte avait été pris en charge, le mot de passe ayant été modifié à son insu, ce qui l'a obligée à subir de multiples tentatives de réinitialisation. Un vidéo démontrant la méthode utilisée a été partagée sur X. Elle détaille comment le pirate, utilisant d'abord un réseau privé virtuel pour masquer sa localisation, a initié une conversation avec l'Assistant d'assistance IA de Meta. Le pirate a demandé au bot d'ajouter une nouvelle adresse e-mail au compte cible. Contrairement aux procédures de sécurité standards, le chatbot a automatiquement envoyé un code de vérification à l'adresse e-mail fournie par l'attaquant. Une fois ce code communiqué au bot, une option pour « Réinitialiser le mot de passe » est apparue, permettant au pirate de définir un nouveau mot de passe et de s'emparer du compte. TechCrunch a confirmé que la boîte e-mail publique du pirate avait bien reçu le code de vérification, prouvant que l'attaque ne nécessitait aucun accès préalable à l'e-mail légitime de la victime. Le lundi suivant, le porte-parole d'Instagram, Andy Stone, a confirmé que la faille avait été résolue après avoir pris connaissance des plaintes. Il a indiqué que la modification technique empêchait désormais ce type d'exploitation via le chatbot. Cependant, il n'a pas divulgué le nombre exact d'utilisateurs affectés ni précisé si des données supplémentaires avaient été compromises. Meta n'a pas fourni de commentaire immédiat à TechCrunch pour en dire plus sur les mesures de sécurisation mises en place. Cette incident soulève des questions importantes sur la fiabilité des systèmes d'assistance par IA dans la gestion des comptes sensibles. En permettant une modification de sécurité via un simple échange de texte avec un chatbot, sans vérification stricte de l'identité de la personne en ligne, l'outil a créé une porte dérobée pour les cybercriminels. Les utilisateurs sont invités à rester vigilants et à activer la double authentification pour renforcer la sécurité de leurs comptes. Cette faille illustre les défis permanents de la cybersécurité à l'ère de l'intelligence artificielle, où les outils destinés à faciliter la vie des utilisateurs peuvent être détournés à des fins malveillantes si leurs protocoles de validation ne sont pas suffisamment robustes.