Meta a corrigé une faille technique qui permettait à des tiers de déclencher en masse des e-mails de réinitialisation de mot de passe, semant la confusion parmi les utilisateurs. Malgré l'alerte lancée par Malwarebytes concernant les données de 17,5 millions de comptes exposés en ligne, le réseau social Meta affirme qu'aucune intrusion n'a compromis son infrastructure.
Meta conteste l'hypothèse d'un nouveau hack
L'incident a provoqué une véritable frénésie après que la société antivirus Malwarebytes a averti ses clients du vol présumé de données personnelles. Sur (anciennement Twitter), Instagram a tenu à rassurer les utilisateurs :
Nous avons résolu un problème qui permettait à une partie externe de demander des e-mails de réinitialisation de mot de passe pour certaines personnes. Il n'y a eu aucune violation de nos systèmes et vos comptes Instagram sont sécurisés.
Vous pouvez ignorer ces e-mails. Nous nous excusons pour cette confusion.
Or, un fichier diffusé gratuitement sur plusieurs forums de hackers contient 17 017 213 profils comprenant des noms, numéros de téléphone, adresses postales, emails et identifiants. Si le hacker affirme avoir exploité une faille d'API en 2024, Meta assure n'avoir connaissance d'aucun compromis de ce type en 2022 ou 2024.
L'analyse des données suggère qu'il s'agit probablement d'une compilation d'informations collectées sur plusieurs années, potentiellement mélangées à d'anciennes fuites comme celle de 2017 qui a touché 6 millions de comptes. À ce jour, les chercheurs en cybersécurité n'ont fourni aucune preuve reliant cet ensemble de données à une vulnérabilité récente des systèmes d'Instagram.
L'absence de preuve formelle d'une nouvelle faille tend à confirmer que ces informations proviennent de sources multiples et non d'un accès direct aux serveurs du réseau social. Cette distinction est cruciale car elle signifie que les barrières de sécurité internes de la plateforme Meta n'ont pas cédé.
Le phishing devient le risque majeur pour les victimes
La bonne nouvelle est qu’il n’y a aucun mot de passe dans le fichier divulgué. Il n'est donc techniquement pas nécessaire de modifier immédiatement votre code d'accès. Cependant, la disponibilité de ces coordonnées expose les utilisateurs à des attaques ciblées d’ingénierie sociale, de phishing ou de smishing (SMS phishing).
Les pirates exploitent fréquemment ces bases de données pour tenter de voler des informations supplémentaires. La vigilance est donc de mise :
- Ignorez et supprimez tous les e-mails ou codes SMS de réinitialisation non sollicités.
- Activez toujours l'authentification à deux facteurs (2FA) si vous ne l'avez pas déjà fait pour renforcer la sécurité de votre compte.
