Ces derniers jours, une grave faille de sécurité a été découverte chez Meta. Il s’avère que Meta AI, l’IA générative du groupe, permettait à des hackers de prendre le contrôle de n’importe quel compte Instagram en quelques minutes. En contactant Meta AI et en demandant d’associer une nouvelle adresse e-mail à un compte ciblé, le chatbot envoyait le code de vérification… directement au pirate, et non au véritable propriétaire du compte. Il suffisait ensuite d’entrer ce code pour réinitialiser le mot de passe et prendre le contrôle total du compte Instagram, sans que le propriétaire ne s’en rende compte.
Des centaines de comptes Instagram, dont des comptes de célébrités, ont été compromis avec l’aide de Meta AI. Alerté par les nombreuses victimes, Meta assure avoir déployé un correctif. Andy Stone, vice-président de la communication de Meta, affirme que le « problème est résolu et que nous sécurisons les comptes affectés ».
À lire aussi : 30 minutes sans collecte de données – face aux contestations, Meta accorde une pause à ses employés
Des comptes Instagram qui se font encore pirater
En dépit des assertions de Meta, il semble qu’une faille de sécurité soit toujours présente dans le fonctionnement de Meta AI. Selon les témoignages, des comptes Instagram continuent de se faire pirater. Le compte de la chercheuse en sécurité Jane Manchun Wong, déjà compromis au cours du week-end, a subi une série de modifications à son insu. Comme l’explique l’experte sur X, son mot de passe a été changé, de même que son nom d’utilisateur de quatre lettres.
Update: My four-letter username finsta has also been hacked.
(even though it also has two-factor auth turned on) https://t.co/vmf5DkKYfs pic.twitter.com/v4PsHUhrkN
— Jane Manchun Wong (@wongmjane) June 2, 2026
L’un de ses comptes secondaires a aussi été compromis, bien après que Meta ait communiqué sur l’incident. Bien que Meta prétende que les comptes ont été sécurisés, des intrus continuent de se balader à leur guise sur l’Instagram des internautes. En réponse à la publication de Jane Manchun Wong, des dizaines de témoignages analogues sont apparus sur le réseau social.
Ces témoignages ont obligé le porte-parole Andy Stone à réagir. Dans un nouveau message sur X, le responsable assure que les comptes ont bien été sécurisés, mais qu’il faut encore que les personnes touchées récupèrent un accès à leur Instagram. Bien « que les comptes concernés soient déjà sécurisés, nous travaillons actuellement à rétablir l’accès aux personnes touchées », explique Andy Stone, précisant que « certaines personnes pourraient recevoir une notification de réinitialisation de mot de passe et d’autres pourraient devoir répondre à des questions de sécurité lorsqu’elles tenteront de se connecter à leur compte ».
Thank you for raising this. While we have already secured impacted accounts, we are now working to restore access to affected individuals. Some people may receive password reset notifications and some may be asked security questions when they try and log into their accounts.
— Andy Stone (@andymstone) June 2, 2026
À lire aussi : La CNIL s’alarme des lunettes connectées, Meta en rajoute avec un collier IA
Une faille qui n’a pas été corrigée
Selon les informations glanées par Android Authority, Meta n’a pas totalement colmaté la vulnérabilité de Meta AI. En effet, le groupe de Menlo Park se serait contenté de supprimer le bouton « Obtenir de l’aide » de l’interface utilisateur Meta AI. Il n’est donc plus possible de demander à l’IA de prendre le contrôle d’un compte dans l’interface. Autrement dit, le chemin le plus évident vers la faille a été barré.
Néanmoins, il est toujours possible d’accéder à la vulnérabilité en passant par une API (Interface de Programmation d’Application), le système qui permet à deux logiciels de communiquer entre eux. En l’occurrence, le système permet à un logiciel de communiquer avec Meta AI. Un utilisateur ordinaire ne les verra plus, mais un pirate ou un développeur expérimenté peut toujours se servir de la faille via des scripts, des bots Telegram ou d’autres outils. La faille sous-jacente n’aurait pas été corrigée dans le code, du moins pour le moment. C’est ce qui ressort d’un compte Telegram dédié à la cybersécurité, qui regroupe des chercheurs. Pour l’heure, Meta n’a pas encore réagi.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : Android Authority
