L’IA de Meta a laissé pirater 20 000 comptes Instagram pendant deux mois

Plus de 20 000 comptes Instagram ont été piratés en exploitant l’outil de support dopé à l’IA de Meta. Et le pire : vous ne pouviez pas faire grand-chose pour l’empêcher, sauf une chose.

Meta vient de l’admettre noir sur blanc, dans une notification de fuite déposée auprès du procureur général du Maine. Selon Cybernews, qui a consulté le document, exactement 20 225 comptes Instagram ont été compromis via une faille dans le « High Touch Support » (HTS), l’outil de récupération de compte assisté par IA censé vous aider quand vous êtes verrouillé dehors. Sauf qu’il a fait l’inverse : il a ouvert la porte aux pirates.

Le mécanisme est d’une simplicité gênante. Pour récupérer un compte, le HTS demande une adresse e-mail avant d’envoyer un lien de réinitialisation de mot de passe. Problème : d’après la notification de Meta, l’outil ne vérifiait pas que cette adresse correspondait bien à celle liée au compte. Un attaquant entrait sa propre adresse, recevait le lien, changeait le mot de passe et entrait.