Meta a récemment fourni des précisions sur l’attaque qui a touché Instagram la semaine dernière. Plus de 20 000 comptes d’utilisateurs ont été compromis. Les cybercriminels ont réussi, grâce au système de récupération de compte « High Touch Support » (HTS), à obtenir de nouveaux mots de passe pour les comptes affectés.
De ce fait, ils ont eu accès à des données sensibles et ont pu exclure complètement les propriétaires des comptes en modifiant leur adresse e-mail et leur mot de passe. Suite à cette découverte, Meta a désactivé le système concerné et pris des mesures de sécurité pour les comptes touchés.
Un assistant devenu complice
Cet incident découle d’une faille dans le système d’assistance soutenu par l’IA de Meta, le HTS, conçu pour aider les utilisateurs à restaurer l’accès à leurs comptes Instagram bloqués. Les agresseurs ont exploité le fait que le système ne vérifiait pas suffisamment si l’adresse e-mail fournie lors de la récupération était réellement associée au compte concerné, permettant ainsi de générer des liens de réinitialisation de mot de passe et d’accéder à des comptes externes. Les utilisateurs n’ayant pas activé l’authentification à deux facteurs étaient particulièrement vulnérables.
Une faille non détectée pendant plusieurs semaines
Selon une déclaration de confidentialité soumise le 5 juin 2026 auprès du bureau du procureur général du Maine, relayée par un média réputé, la faille a été découverte le 31 mai 2026. Cependant, la date précise de l’incident remonte au 17 avril 2026, suggérant que les attaques ont pu débuter plusieurs semaines avant d’être détectées. Meta indique que plus de 20 000 comptes Instagram seraient concernés. Les types de données exfiltrées demeurent flous, mais les cybercriminels auraient pu accéder à une multitude d’informations sensibles, y compris des adresses e-mail, des numéros de téléphone, des dates de naissance, des informations de profil, des photos, des vidéos, des messages directs et des historiques d’interactions.
En réponse immédiate, Meta a totalement désactivé le système HTS et invalidé tous les liens de réinitialisation de mot de passe générés. Les comptes potentiellement compromis ont été soumis à un processus de sécurité obligatoire : les utilisateurs doivent modifier leurs mots de passe et vérifier leur identité pour récupérer le contrôle de leurs comptes.
Le système ne reprendra son service qu’après modifications
Meta s’engage également à garantir une vérification fiable des adresses e-mail associées aux comptes. Ce n’est qu’après ces ajustements que le système sera remis en ligne. De plus, l’entreprise examine d’autres procédures de récupération sur ses autres plateformes.
Il reste à voir quelles seront les implications en matière de protection des données pour Meta suite à cet incident, y compris la possibilité de sanctions financières.
Points à retenir
- Plus de 20 000 comptes Instagram ont été affectés par cette attaque.
- La faille provenait d’un système d’assistance mal sécurisé.
- Les utilisateurs sans authentification à deux facteurs étaient plus vulnérables.
- Meta a pris des mesures de sécurité après la découverte de l’attaque.
- Il est encore incertain quelles données ont été réellement volées.
L’incident soulève des questions importantes sur la sécurité des données en ligne et la responsabilité des entreprises technologiques. Cela m’amène à réfléchir au niveau de protection que nous, en tant qu’utilisateurs, devons exiger et à ce que les grandes plateformes devraient améliorer pour préserver notre confiance. À une époque où nos informations personnelles sont plus précieuses que jamais, il est crucial que ces systèmes soient renforcés pour éviter que de telles situations ne se reproduisent.