Meta compte bien rentabiliser ses investissements massifs dans l'IA en intégrant la technologie à tous les étages. Problème : celle-ci peut faire n'importe quoi sans garde-fous corrects. 404 Media et le journaliste spécialisé sur la cybersécurité Brian Krebs ont rapporté cette semaine qu'il était possible de changer les e-mails de comptes Instagram tiers simplement… en demandant à l'IA en charge de l'assistance. La méthode, patchée depuis, a été détaillée dans une vidéo partagée sur X :
🚨 Instagram had an exploit that allowed you to use Meta AI to reset passwords to accounts with no MFA on them. The exploit was patched a short time ago.pic.twitter.com/PEUwLvmllj
— Dark Web Informer (@DarkWebInformer) June 1, 2026
Le scénario rapporté est complètement absurde. En pratique, l’attaque commençait par une procédure de réinitialisation de mot de passe. Les attaquants utilisaient un VPN pour se connecter depuis une zone géographique proche de celle de leur cible afin de rendre la demande de récupération plus crédible. Ils choisissaient ensuite l’assistant IA de Meta comme méthode de support, puis lui demandaient d’ajouter une nouvelle adresse e-mail au compte ciblé.
L’IA s’exécutait sans exiger que la personne soit déjà connectée au compte et envoyait un code à cette nouvelle adresse. Ce code permettait ensuite de changer le mot de passe. Résultat : le propriétaire légitime était automatiquement déconnecté de tous ses appareils, tandis que les attaquants prenaient la main sur le compte.
Parmi les comptes touchés figureraient des profils très visibles, dont celui de l’Obama White House et celui du Chief Master Sergeant de l’U.S. Space Force John Bentivegna, brièvement détournés pour afficher des contenus pro-iraniens. La chercheuse en sécurité Jane Wong a également indiqué que son compte Instagram avait été compromis.
L’affaire a de quoi faire sourire : Meta dépense sans compter depuis des mois pour recruter les têtes les plus brillantes de l’IA, avec l’objectif affiché de mettre au point un système dépassant l’intelligence humaine. L’entreprise a reconnu le problème auprès de KrebsOnSecurity, indiquant que la faille avait été corrigée et que les comptes concernés étaient en cours de sécurisation.
