### La faille dans la récupération de compte assistée par IA L'incident, que **Meta** a découvert le 31 mai 2026 et qui a probablement commencé dès le 17 avril, a vu des acteurs malveillants exploiter un défaut de conception critique dans l'outil **High Touch Support (HTS)** d'**Instagram**. Ce système assisté par IA est conçu pour aider les utilisateurs à retrouver l'accès à leurs comptes bloqués. Cependant, un bug dans un chemin de code distinct a empêché le **HTS** de vérifier correctement si une adresse e-mail fournie pour une demande de réinitialisation de mot de passe était effectivement associée au compte **Instagram** cible. Cette négligence a permis à des tiers non autorisés de demander des liens de réinitialisation de mot de passe pour des comptes qui ne leur appartenaient pas, en dirigeant ces liens vers leurs propres adresses e-mail. Après avoir reçu et utilisé ces liens, les attaquants ont pu se connecter et pirater les comptes où l'authentification à deux facteurs (2FA) n'était pas activée. **Amber Hannah**, conseillère juridique générale associée de **Meta** pour le droit de la réponse aux incidents, a détaillé la vulnérabilité dans une notification de violation de données déposée auprès du **Bureau du Procureur Général du Maine**. Elle a expliqué : « L'outil lui-même a fonctionné correctement et comme prévu ; cependant, en raison d'un bug dans un chemin de code distinct, le système n'a pas correctement vérifié que l'adresse e-mail fournie par la personne demandant une réinitialisation de mot de passe correspondait à l'adresse e-mail associée au compte **Instagram** de cet utilisateur. » ### Portée et exposition potentielle des données Initialement, les rapports indiquaient un problème généralisé, **Meta** confirmant que 20 225 utilisateurs d'**Instagram** avaient vu leurs comptes compromis. Pour les utilisateurs relevant de la juridiction du Maine spécifiquement, **Meta** a signalé que 30 comptes avaient été affectés.  Bien que **Meta** ait déclaré ne pas avoir d'informations définitives sur les données personnelles qui ont été consultées ou volées, la nature du piratage de compte implique que les attaquants ont potentiellement eu accès à un large éventail d'informations sensibles. Cela comprend les coordonnées (e-mail et/ou numéro de téléphone), les dates de naissance, toutes les publications et contenus sur les réseaux sociaux (photos, vidéos, stories), les messages directs et les communications, l'activité du compte, les informations de profil (biographie, photo de profil), et tout autre compte connecté ou service lié. ### Réponse rapide et remédiation de Meta Dès la découverte de l'exploit, **Meta** a agi rapidement pour contenir la violation. L'entreprise a désactivé le système de support **HTS** alimenté par l'IA et a invalidé tous les liens de réinitialisation de mot de passe générés par le processus défectueux, bloquant ainsi efficacement les tentatives de piratage futures. **Andy Stone**, vice-président des communications de **Meta**, a publiquement confirmé la résolution, déclarant que « le problème a été résolu, et nous sécurisons les comptes impactés ». Tous les comptes potentiellement compromis ont été inscrits à un point de contrôle de sécurité obligatoire, obligeant les utilisateurs concernés à réinitialiser leurs mots de passe et à se réauthentifier pour reprendre le contrôle. À l'avenir, **Meta** s'est engagé à corriger la vérification d'authentification dans le point d'entrée de récupération d'**Instagram** afin d'assurer une vérification d'e-mail appropriée avant de relancer l'outil. De plus, l'entreprise procède à un examen complet des flux de récupération de compte similaires sur toutes ses plateformes afin d'identifier et de corriger toute autre vulnérabilité potentielle. ### Un schéma de lacunes de sécurité Cet incident s'ajoute à un historique de défis de sécurité pour **Meta**. Les années précédentes, l'entreprise a fait l'objet de lourdes amendes de la part des régulateurs irlandais. En 2022, **Meta** a été condamné à une amende de 265 millions d'euros (environ 275,5 millions de dollars) pour ne pas avoir protégé les données des utilisateurs de **Facebook** contre les scrapeurs, et une amende antérieure de 91 millions d'euros (environ 100 millions de dollars) pour avoir stocké des centaines de millions de mots de passe d'utilisateurs en texte brut. Une violation de données en 2018 a également entraîné une amende de 264 millions de dollars, exposant les détails personnels de plus de 29 millions de comptes **Facebook**. Ces problèmes récurrents soulignent le besoin critique d'une vigilance de sécurité continue, en particulier lors de l'intégration de systèmes d'IA avancés dans des processus sensibles comme la récupération de compte.