Ces derniers jours, de nombreux utilisateurs d'Instagram ont reçu des courriels en masse les invitant à réinitialiser leur mot de passe. Cette situation a rapidement suscité l'inquiétude, car des informations faisant état d'une fuite de données concernant des millions de comptes ont émergé presque simultanément. L'affaire s'est avérée très grave, et nous avons finalement reçu une déclaration officielle d'Instagram. Malwarebytes, une entreprise reconnue pour ses solutions antivirus et sa surveillance des menaces en ligne, a donné l'alerte. Selon ses conclusions, une base de données contenant des informations relatives à environ 17,5 millions d'utilisateurs d'Instagram est apparue sur le dark web. Les données divulguées incluraient des noms d'utilisateur, des adresses électroniques, des numéros de téléphone et même des adresses postales. Malwarebytes affirme avoir découvert ces données lors d'analyses de routine de plateformes illicites et que leur source pourrait être une vulnérabilité de l'API d'Instagram datant de 2024. Surtout, la société prévient que ces informations peuvent être utilisées non seulement pour du spam, mais aussi pour des attaques plus sophistiquées, comme le phishing ou les tentatives de prise de contrôle de compte.

Meta, propriétaire d'Instagram, a rapidement réagi à ces informations. Cependant, dans une déclaration officielle publiée sur X, l'entreprise a assuré qu'aucun système n'avait été compromis et qu'aucune donnée utilisateur n'avait été volée. Selon Instagram, le problème était lié à un mécanisme permettant à un site web tiers d'envoyer des demandes de réinitialisation de mot de passe en masse. La plateforme souligne que la vulnérabilité a déjà été corrigée et que les comptes utilisateurs restent sécurisés. Concrètement, cela signifie que les personnes recevant des e-mails de réinitialisation de mot de passe peuvent simplement les ignorer, à moins d'avoir elles-mêmes initié la procédure. La divergence des versions tient à l'interprétation de l'incident. Malwarebytes affirme que des données sont disponibles à la vente, tandis qu'Instagram nie toute violation de son infrastructure. Il est possible que certaines informations proviennent de fuites antérieures, collectées et consolidées dans une base de données unique, comme c'est souvent le cas sur le marché noir. Le fait que Meta ait connu plusieurs incidents majeurs de protection des données par le passé n'arrange rien. Ces éléments rendent les utilisateurs méfiants face aux garanties de sécurité absolue.

Quelle que soit la version des faits qui soit la plus proche de la vérité, cette situation est l'occasion idéale de mettre en pratique les bonnes pratiques de sécurité informatique. Activer l'authentification à deux facteurs complique considérablement la prise de contrôle de votre compte, même si quelqu'un connaît votre mot de passe. Il est également conseillé de choisir un mot de passe unique et de vérifier dans le Centre de gestion de compte Meta les appareils actuellement connectés à votre compte.