Une faille de sécurité dans l’outil High Touch Support (HTS) de Meta a permis à des pirates de prendre le contrôle de plus de 20 000 comptes Instagram. En exploitant cette faille dans cet outil où l’IA a visiblement été mal implémentée, les pirates ont pu obtenir des liens de réinitialisation de mots de passe sur leur propre adresse e-mail. Voici ce que l’on sait sur cet incident de sécurité.

Quand l’IA distribue des liens de réinitialisation à des inconnus

Cette affaire a débuté le 31 mai 2026, lorsque Meta a découvert une faille de sécurité dans son outil de support assisté par IA, baptisé High Touch Support (HTS). Cet outil interactif est conçu pour aider les utilisateurs à récupérer l’accès à leur compte Instagram, en particulier lorsque le compte est verrouillé (trop de connexions invalides, par exemple).

Le problème, c’est que cette vulnérabilité a permis aux pirates de détourner cet outil pour mettre la main sur plus de 20 000 comptes Instagram. En fournissant simplement une adresse e-mail non liée au compte ciblé (mais à laquelle a accès le pirate), le système envoyait aveuglément le lien de réinitialisation à cette adresse externe au lieu de rejeter la demande.

Une fois l’e-mail reçu par l’outil de Meta, l’attaquant n’avait plus qu’à cliquer pour modifier le mot de passe et s’emparer des comptes ciblés. Néanmoins, les comptes protégés par l’authentification à deux facteurs (2FA) sont protégés de cette attaque.

Cela signifie qu’il n’y a aucune vérification : on croirait presque à une faute de débutant, tellement c’est une erreur de logique grossière. En principe, cet outil devrait vérifier si l’adresse e-mail spécifiée est bien celle renseignée dans les paramètres du compte Instagram.

Mais à en croire les documents officiels déposés auprès du bureau du procureur général du Maine par Amber Hannah, avocate générale de Meta, c’est bien ce qui était prévu.

“Les utilisateurs peuvent demander l’aide de HTS et, dans le cadre de ce processus, demander qu’un lien de réinitialisation de mot de passe soit envoyé à leur adresse e-mail. L’outil lui-même fonctionnait correctement et comme prévu ; cependant, en raison d’un bogue dans un chemin de code distinct, le système n’a pas correctement vérifié que l’adresse e-mail fournie par la personne demandant une réinitialisation de mot de passe correspondait à l’adresse e-mail associée au compte Instagram de cet utilisateur.”, peut-on lire dans ce document.

Des milliers de données personnelles potentiellement exposées

Au total, ce sont précisément 20 225 utilisateurs d’Instagram qui ont vu leur compte être piraté dans le cadre de cette campagne malveillante. Bien que Meta affirme ne pas disposer d’informations précises sur la nature exacte des données qui ont pu être dérobées par les attaquants, le fait de prendre le contrôle d’un compte Instagram permet de potentiellement accéder à de nombreuses données :

• Les informations de contact (adresses e-mail et/ou numéros de téléphone)
• Les dates de naissance
• Les publications et le contenu des réseaux sociaux (photos, vidéos, stories)
• Les messages directs (conversations privées)
• L’historique d’activité et d’interaction du compte
• Les informations de profil (biographie, photo de profil)
• Les autres comptes connectés et services liés

Pour les publications, ce n’est pas forcément gênant, mais pour les informations personnelles et les conversations privées, c’est nettement plus embarrassant…

L’outil HTS mis en pause…

En attendant de pouvoir l’améliorer, Meta a désactivé son système de support HTS basé sur l’IA.

“Avant de relancer l’outil, Meta corrigera la vérification de l’authentification dans le point d’entrée de récupération d’Instagram afin de garantir une vérification appropriée des adresses e-mail par rapport aux informations de compte existantes avant qu’une réinitialisation de mot de passe ne soit initiée.”, précise Amber Hannah. De plus, Meta précise qu’il va vérifier ces autres outils de récupération de comptes afin de s’assurer qu’ils ne souffrent pas d’un problème de sécurité mettant en danger les comptes des utilisateurs.

Meta a également pris deux mesures complémentaires pour protéger les utilisateurs affectés :

• L’ensemble des liens de réinitialisation de mot de passe générés par cet outil ont été révoqués, par précaution.
• Tous les comptes impactés sont redirigés vers un contrôle de sécurité où les utilisateurs devront se réauthentifier et modifier de nouveau leur mot de passe.

Si vous utilisez Instagram et que ce n’est pas déjà fait, activez l’authentification multifacteurs.

Source