L’outil d’assistance à l’intelligence artificielle lancé par Meta pour aider les utilisateurs d’Instagram a été utilisé pour pirater des comptes très exposés. Le point le plus grave est que le robot IA pourrait modifier l’adresse email liée à un compte sans vérification d’identité suffisamment solide, ce qui ouvrait alors la voie à une réinitialisation du mot de passe.
Quand l’IA de Meta permet de pirater un réseau social Meta
Cette faille affectait une fonction centrale de l’assistance. Meta a lancé cet assistant en décembre pour fournir une assistance continue aux comptes, avec des utilisations telles que le signalement des escroqueries, les demandes liées à la suppression de contenu et la récupération d’accès. C’est précisément cette dernière capacité qui a été exploitée.
Les manifestations qui ont eu lieu ce week-end décrivent une approche simpliste. Dans l’un des cas rapportés, il suffisait de demander au bot Meta AI de modifier l’adresse email d’un compte ciblé pour que l’opération soit acceptée. Meta AI n’a pas effectué de vérification d’identité robuste et, dans certains cas, l’appareil semble même avoir contourné l’authentification à deux facteurs.
Meta a donné à son agent de support IA la possibilité de modifier votre compte Instagram. aucune vérification d’identité. les gens l’ont compris et les comptes sont en train d’être récupérés en ce moment pic.twitter.com/60yRrImnaZ
— impulsif (@weezerOSINT) 31 mai 2026
🚨 Instagram avait un exploit qui vous permettait d’utiliser Meta AI pour réinitialiser les mots de passe des comptes sans MFA. L’exploit a été corrigé il y a peu de temps.pic.twitter.com/PEUwLvmllj
—Informateur du Web sombre (@DarkWebInformer) 1 juin 2026
L’attaque reposait sur un critère très fragile en soi. Une connexion VPN définie dans une zone proche de celle du compte ciblé était suffisante, ce qui suggère que l’IA de Meta validait partiellement la propriété du compte en fonction de l’emplacement. Méta noté : « Nos systèmes reconnaissent l’appareil que vous utilisez habituellement ainsi que les emplacements familiers, ce qui facilite la confirmation de votre identité et le déverrouillage de votre compte ».
Dans certains cas, une vérification par selfie a été demandée. Elle a cependant été contournée grâce à l’IA, qui montre que plusieurs garde-corps pouvaient tomber en panne successivement. Pendant une courte période, la faille a circulé publiquement et les rachats de comptes se sont multipliés.
Plusieurs comptes vérifiés ont été piratés
Il s’avère que le problème ne se limite pas aux comptes anonymes. Il y avait notamment Sephora, le sergent-major en chef de la Space Force, la chercheuse Jane Manchun Wong, le développeur Albert Renshaw propriétaire du compte. @albertainsi que le compte archivé de Barack Obama à la Maison Blanche. D’autres utilisateurs possédant des identifiants Instagram convoités ont également signalé des détournements.
Un chercheur en sécurité affirme que les chaînes Telegram spécialisées dans les services Instagram du marché noir ont profité de l’outil de Meta pour gagner de l’argent, alors que les pirates connaissaient déjà la faille depuis mars, selon 404 Médias. Meta dit avoir corrigé la faille au cours du week-end. Andy Stone, vice-président des communications chez Meta, confirmé que le problème était résolu et que l’entreprise sécurisait désormais les comptes concernés.
Le correctif ne résout pas tout pour les victimes. Certains utilisateurs qui ont été privés de leur compte au cours du week-end n’ont pas pu utiliser l’IA pour retrouver leur accès et aucune interaction avec un humain n’a été proposée. Cet épisode montre donc une double faiblesse : un système automatisé a facilité l’attaque, puis l’absence d’assistance humaine a compliqué la réparation.
