Des hackers ont pris le contrôle de comptes Instagram haute valeur en demandant simplement au chatbot Meta AI de changer l’adresse e-mail associée. La vague de piratages a débuté le 29 mai, touchant notamment le compte du White House Obama et celui du Chief Master Sergeant de la Space Force américaine.
Pour résumer
- Le chatbot IA de support Meta a été exploité pour modifier l’email de récupération sans authentification réelle de l’utilisateur légitime.
- Des comptes à six chiffres ont été revendus sur Telegram en quelques minutes ; deux handles avaient une valeur combinée supérieure à un million de dollars.
- Meta a déployé un correctif d’urgence le 29 mai au soir, mais une variante du vecteur d’attaque via Facebook resterait active.
Comment l’attaque a fonctionné, et pourquoi elle a marché
Meta avait lancé en mars dernier l’accès à son assistant Meta AI pour l’ensemble des comptes Facebook et Instagram, y compris pour les opérations de sécurité : réinitialisations de mots de passe, récupérations de comptes, signalements. L’IA était présentée comme un bouclier contre les prises de contrôle frauduleuses. Elle en est devenue le vecteur.
La méthode est d’une simplicité déconcertante. L’attaquant active un VPN pour se placer géographiquement dans la région du compte cible. Il lance une procédure de réinitialisation de mot de passe, puis demande au chatbot Meta AI de changer l’adresse e-mail du compte. Le chatbot exécute sans vérifier que la personne qui fait la demande est bien le propriétaire légitime. Un code de confirmation est envoyé à la nouvelle adresse, celle de l’attaquant. C’est terminé.
Pour les comptes protégés par une vérification biométrique, les attaquants ont contourné l’obstacle en passant des photos de la victime dans des générateurs vidéo IA pour produire des deepfakes animés capables de tromper les vérifications automatisées. L’IA attaque, l’IA défend : la première a gagné cette manche.
La vulnérabilité circulait dans des channels Telegram depuis la fin mars. La vague massive a débuté le 29 mai. En quelques heures, des dizaines de comptes à haute valeur ont changé de mains. Le correctif d’urgence de Meta est arrivé le soir même. Trop tard pour de nombreuses victimes dont les comptes avaient déjà été revendus.
Meta a confirmé publiquement le correctif le 2 juin. La plateforme n’a pas communiqué sur le nombre total de comptes compromis ni sur le montant des pertes. Une variante du vecteur d’attaque passant par le flux de récupération Facebook serait toujours active selon plusieurs sources.
Les failles structurelles que cette attaque révèle
Ce piratage n’est pas une anomalie. Il est la conséquence logique d’une décision de conception : donner au chatbot Meta AI des droits d’action sur des données sensibles sans mécanismes d’authentification adaptés. Aucune notification push n’était envoyée à l’appareil authentifié du propriétaire. Aucun e-mail de confirmation n’était envoyé à l’adresse d’origine. L’IA pouvait effectuer des changements irréversibles sans que personne n’en soit informé.
Ce type de faille porte un nom dans la sécurité informatique : l’attaque « confused deputy ». Le chatbot joue le rôle d’un intermédiaire de confiance que des tiers malveillants manipulent pour obtenir des droits qu’ils n’ont pas. Ce n’est pas un bug de l’IA à proprement parler. C’est une erreur de conception du système qui lui a donné ces droits sans garde-fous suffisants.
Pour les victimes, la récupération officielle passe par un processus de révision manuelle qui prend des jours. Or les comptes compromis ont été revendus en quelques minutes sur Telegram. Le delta entre la vitesse de l’attaque et la vitesse du support humain est un problème systémique, pas un incident isolé à régler au cas par cas.
Les handles courts (deux à quatre caractères) et les comptes d’organisations ou de personnalités publiques sont les plus exposés car leur valeur marchande justifie l’effort d’attaque. Deux handles compromis lors de cette vague avaient une valeur combinée estimée à plus d’un million de dollars sur les marchés gris.
Meta n’est pas le seul acteur à déployer des chatbots IA dans des flux d’authentification et de support client. Cette attaque constitue un avertissement pour l’ensemble de l’industrie sur les risques de déléguer des actions irréversibles à des agents IA sans contrôles d’identité robustes.
À voir également sur Horizon :
- Trump signe son executive order IA, allégé sous pression
- Alphabet lève 80 milliards pour son infrastructure IA
- Claude Mythos sécurise les infrastructures dans 15 pays
Ce que ça change pour la sécurité des comptes et l’IA d’assistance
À court terme, le correctif de Meta réduit le vecteur principal. Mais la surface d’attaque n’est pas fermée tant que le flux de récupération Facebook reste potentiellement exploitable et que le processus de récupération pour les victimes reste aussi lent. La confiance dans les systèmes d’assistance IA de Meta va prendre du temps à se reconstituer, en particulier pour les créateurs et marques dont le compte est un actif commercial.
À moyen terme, cet incident va accélérer la réflexion sur les standards de délégation de droits aux agents IA dans les systèmes grand public. La question n’est plus « peut-on faire confiance à un chatbot IA pour répondre à des questions ? » mais « à quelles actions irréversibles peut-on lui donner accès sans garde-fous supplémentaires ? »
Pour les régulateurs, le timing est particulier. L’executive order IA de Trump signé cette semaine confie justement au DOJ la mission de prioriser les crimes assistés par IA. Ce type d’attaque exploitant un chatbot pour compromettre des comptes en masse s’inscrit précisément dans ce cadre. La question est de savoir si les outils légaux et techniques seront disponibles avant la prochaine vague.
La réponse immédiate pour les utilisateurs à risque reste la même depuis des années : activer la vérification à deux facteurs par clé physique (passkey) plutôt que par SMS ou e-mail. C’est le seul vecteur que ce type d’attaque n’a pas encore réussi à contourner à grande échelle.
Affaire à suivre sur Horizon.
