Les utilisateurs d'Instagram ont vécu un véritable cauchemar ce week-end. Des témoignages ont circulé en ligne faisant état d'une série de piratages éclair de comptes importants, y compris des profils protégés par une authentification à deux facteurs et des mesures de sécurité supplémentaires. Selon les victimes, les pirates ont exploité des systèmes de récupération de compte basés sur l'intelligence artificielle, et l'opération entière n'aurait duré que quelques minutes. Cette fois-ci, la cible n'était pas de simples profils ordinaires. Les pirates visaient les comptes dits « OG » — des noms d'utilisateur rares, courts et très recherchés, pouvant se vendre à des centaines de milliers de dollars sur les marchés illégaux. Des utilisateurs ont commencé à signaler sur les réseaux sociaux que leurs profils étaient piratés en temps réel. Ils ont décrit avoir été soudainement déconnectés de l'application, avoir reçu des notifications de changement de mot de passe, puis avoir perdu quelques instants plus tard le contrôle total de leurs comptes. Parmi les profils compromis figuraient des célébrités, des chercheurs en sécurité et des propriétaires de noms d'utilisateur très recherchés. La célèbre analyste en sécurité Jane Manchun Wong comptait parmi les victimes. Des rapports ont également fait état du piratage de comptes liés à des institutions publiques américaines. D'après les témoignages d'utilisateurs, les profils volés étaient presque immédiatement mis en vente sur des chaînes Telegram spécialisées dans le commerce de comptes de réseaux sociaux.

L'élément le plus inquiétant de toute cette affaire concerne le mode opératoire des attaquants. Selon les experts, ils ont exploité la procédure de récupération de compte de Meta et les capacités des générateurs d'images et de vidéos modernes basés sur l'IA. Les attaquants auraient téléchargé des photos publiques des titulaires de comptes, puis utilisé des outils d'IA pour créer des vidéos selfie réalistes. Ces vidéos préparées ont ensuite été injectées dans des systèmes automatisés de vérification d'identité. Si l'algorithme jugeait l'enregistrement téléchargé authentique, il lançait une procédure pour récupérer l'accès au compte. Les attaquants modifiaient alors l'adresse électronique associée au profil et réinitialisaient le mot de passe. Dès lors, le compte était sous leur contrôle total. Les experts soulignent que nous sommes confrontés à un nouveau type de menace, dans lequel un système basé sur l'intelligence artificielle a été trompé par un autre outil utilisant l'intelligence artificielle. L'un des aspects les plus alarmants de cet incident est que certains des comptes compromis étaient protégés par l'authentification à deux facteurs (2FA). Pendant des années, la 2FA a été considérée comme l'un des moyens les plus efficaces de sécuriser l'accès aux services en ligne. Or, dans ce cas précis, l'attaque n'a nécessité ni le piratage des codes d'authentification ni la prise de contrôle de l'appareil de la victime. Les pirates ont utilisé une procédure de récupération de compte qui contourne le processus de connexion standard. Cet élément a rendu de nombreux utilisateurs particulièrement vulnérables. Même ceux qui avaient mis en place des mesures de sécurité supplémentaires pouvaient perdre l'accès à leur profil.

Lorsque Meta a commencé à examiner les signalements, de nombreux utilisateurs ont tenté de récupérer leurs comptes. Un autre problème est alors apparu : les victimes ont décrit avoir été redirigées vers un système d’assistance technique entièrement automatisé. Au lieu de contacter un employé de l’entreprise, elles ont reçu des réponses générées par des chatbots et des formulaires automatisés. D'après les témoignages d'utilisateurs, le processus de récupération d'accès s'est avéré extrêmement frustrant. Nombre d'entre eux n'ont pas réussi à joindre un conseiller humain pendant une longue période, malgré la valeur financière ou réputationnelle importante des profils perdus. Ce point a suscité de vives critiques. Les experts soulignent que l'automatisation des processus de sécurité peut accélérer le service pour des millions d'utilisateurs, mais qu'en situation de crise, l'absence d'intervention humaine constitue un problème majeur. Après la médiatisation du problème, Meta l'a confirmé et a annoncé la mise en place de correctifs. L'entreprise a indiqué que cette vulnérabilité permettait à certains utilisateurs d'Instagram d'effectuer des demandes de réinitialisation de mot de passe non autorisées. Elle a toutefois insisté sur le fait qu'aucune faille de sécurité de son infrastructure ni aucune fuite massive de données n'avaient été constatées. Les experts en cybersécurité qualifient ce scénario d'attaque par « manipulation », une situation où un système de confiance est amené à agir pour le compte de l'attaquant. Dans ce cas précis, le système de récupération de compte Meta a joué ce rôle. Il n'a pas été directement compromis, mais plutôt incité à prendre une décision erronée à partir de données préparées par les criminels.