Instagram vient de souffrir d’une faille de sécurité. La vulnérabilité vient du bouton « Mot de passe oublié ». Lorsque vous cliquez dessus depuis un navigateur web et que vous entrez un nom d’utilisateur, le réseau social vous montre automatiquement les coordonnées de secours associées au compte. Évidemment, celles-ci sont partiellement masquées pour des raisons évidentes de sécurité. L’objectif est de vous aider à retrouver l’accès à votre compte sans divulguer vos données à qui que ce soit d’autre.
À lire aussi : Scandale de sécurité chez Meta – l’IA permettait de pirater n’importe quel compte Instagram en quelques clics
Oups, Instagram a oublié de masquer des informations sensibles
Il y a quelques jours, des chercheurs en sécurité, très actifs sur X, ont constaté que quelque chose clochait dans le mécanisme de récupération de mots de passe d’Instagram. En fait, le réseau social a oublié de masquer partiellement les coordonnées de secours associées au compte. Les adresses e-mail et les numéros de téléphone s’affichaient donc sans la moindre censure. Il suffisait qu’un internaute lance une réinitialisation de mot de passe pour n’importe quel compte pour découvrir les coordonnées de celui-ci. Ce sont évidemment des données très sensibles et très utiles à un hacker qui cherche à prendre le contrôle d’un compte Instagram.
Meta is still having some minor security problems. Instagram is currently exposing phone numbers and email addresses associated with accounts when trying to perform a password reset
This is cool and badass because everyone is sharing Mark Zuckerbergs phone number right now
— vx-underground (@vxunderground) June 6, 2026
En d’autres termes, la faille a permis de divulguer des numéros de téléphone liés à des comptes Instagram. Le compte @vxunderground, très suivi dans le milieu de la cybersécurité, publie des captures d’écran sur le réseau social X de la vulnérabilité. En entrant le nom d’utilisateur du compte officiel de Mark Zuckerberg, PDG de Meta, il était possible de mettre la main sur plusieurs adresses email associées ainsi qu’un numéro de téléphone complet.
🚨Breaking: Mark Zuckerberg personal email and phone number leaked by the latest Instagram bug thats lets you see sensitive information of other users😳 pic.twitter.com/VXinBl7CgR
— Electroo69 (@electrooo69) June 6, 2026
Certains internautes ne se sont pas privés et les coordonnées du milliardaire ont été massivement partagées sur les réseaux. La fuite n’est pas aussi préoccupante qu’elle paraît. En effet, le numéro de Zuckerberg était déjà publiquement connu depuis la fuite de données de Facebook en 2019. D’autres comptes célèbres sont testés dans la foulée, dont celui de la mannequin Georgina Rodriguez.
À lire aussi : Sur Instagram et Facebook, les moins de 13 ans ne sont pas assez protégés – Bruxelles épingle Meta qui risque une amende salée
Meta corrige la faille d’Instagram
Face à la vague d’alertes sur les réseaux sociaux, Meta n’a pas tardé à corriger le tir. Un correctif d’urgence a été déployé dans les heures suivant la découverte de la faille. Il s’agissait d’un simple bug de programmation dans le code de la page web de réinitialisation, qui a donc été facilement colmaté. Le masquage des données a été rétabli.
Il n’est plus possible de consulter les coordonnées complètes d’un compte Instagram. Interrogé par CybersecurityNews, le réseau social indique avoir « corrigé un problème qui permettait à une tierce partie de demander des e-mails de réinitialisation de mot de passe pour certains utilisateurs Instagram ». Par ailleurs, ses « systèmes n’ont fait l’objet d’aucune violation ». Une vulnérabilité analogue avait été découverte, et colmatée, en janvier 2026. Elle permettait de réclamer des réinitialisations de mots de passe à l’insu du détenteur d’un compte.
We fixed an issue that let an external party request password reset emails for some people. There was no breach of our systems and your Instagram accounts are secure.
You can ignore those emails — sorry for any confusion.
— Instagram (@instagram) January 11, 2026
La vulnérabilité survient quelques jours après qu’Instagram a été victime d’une autre faille de sécurité particulièrement préoccupante. Celle-ci a permis à des individus malveillants de pirater plus de 20 000 comptes Instagram en demandant simplement à Meta AI, l’intelligence artificielle du groupe. Meta a alors désactivé l’outil d’assistance défaillant, invalidé tous les liens de réinitialisation générés, et soumis les comptes compromis à un contrôle de sécurité obligatoire.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
