# Vulnérabilité d'un bot IA : Comment des pirates ont brièvement pris le contrôle de comptes Instagram de haut profil ## Introduction à l'incident Les comptes **Instagram** de la **Maison Blanche d'Obama** et du Chief Master Sergeant de la **Force spatiale américaine** ont été brièvement défigurés ce week-end avec des images et des messages pro-iraniens. Cet incident fait suite à la diffusion d'instructions sur **Telegram** détaillant comment exploiter le bot "assistant de support IA" de **Meta** pour réinitialiser les mots de passe des comptes. ## L'exploit du bot IA dévoilé Le 31 mai, des détails ont émergé sur plusieurs canaux de messagerie instantanée **Telegram** concernant une faille critique dans le bot IA de **Meta**. L'exploit permettait au bot d'ajouter une adresse e-mail contrôlée par l'attaquant à un compte existant dans le cadre de son flux de réinitialisation de mot de passe standard. Une vidéo, prétendument publiée par des pirates pro-iraniens sur **Telegram**, documentait une méthode étonnamment simple. Les attaquants utilisaient un VPN pour imiter une adresse IP proche de l'emplacement habituel de la cible, initiaient une réinitialisation de mot de passe, puis interagissaient avec l'assistant de support IA de **Meta**. La vidéo montrait comment instruire le bot pour qu'il associe le compte cible à une nouvelle adresse e-mail. L'assistant IA envoyait alors un code unique à cette nouvelle adresse, donnant à l'attaquant la possibilité de réinitialiser le mot de passe du compte.  ## Impact et portée Le même compte **Telegram** qui a rendu public l'exploit a également partagé des captures d'écran des défigurations pro-iraniennes sur les comptes **Instagram** compromis. Les pirates ont affirmé avoir utilisé cette vulnérabilité pour détourner de nombreux noms de compte **Instagram** "précieux" (courts), alléguant une valeur de revente potentielle dépassant un demi-million de dollars. ## Réponse et résolution de Meta Bien que **Meta** n'ait pas officiellement commenté les affirmations de la vidéo, **Andy Stone**, porte-parole de **Meta**, a confirmé via **Twitter/X** que le problème avait été résolu et que l'entreprise sécurisait les comptes affectés. Selon un rapport de [thecybersecguru.com](https://thecybersecguru.com/news/instagram-meta-ai-vulnerability-account-recovery-exploit/), **Meta** a déployé un correctif d'urgence ce week-end. Le rapport a précisé qu'aucune violation de base de données backend n'avait eu lieu, indiquant que la vulnérabilité était spécifique à la logique d'interaction du bot IA plutôt qu'à une compromission du système principal. **thecybersecguru.com** a souligné le défi de l'infrastructure de support humain notoirement médiocre d'**Instagram**. Ils ont suggéré que l'assistant IA de **Meta** était destiné à rationaliser les flux de récupération courants, tels que la relinkage d'e-mails perdus ou le déclenchement de réinitialisations de mot de passe, mais a involontairement introduit un nouveau vecteur d'attaque. ## Perspective d'expert sur la sécurité de l'IA **Ian Goldin**, chercheur en menaces chez **Lumen's Black Lotus Labs**, a souligné que la dépendance croissante aux chatbots IA pour les tâches sensibles pousse la sécurité dans un territoire inexploré. Goldin a établi des parallèles entre les agents de support client humains et les bots IA, notant que les deux peuvent être susceptibles d'ingénierie sociale ou de tromperie. "Les chatbots IA créent une nouvelle surface d'attaque intéressante, et nous allons probablement voir beaucoup plus de ce type d'attaques", a déclaré Goldin. ## Protéger vos comptes Cet incident souligne l'importance cruciale d'une authentification multifacteur (MFA) robuste. Les pirates derrière la vidéo **Telegram** ont explicitement déclaré que leur exploit échouait contre tous les comptes dotés de la MFA activée. Il est fortement conseillé aux utilisateurs d'activer les formes de MFA les plus sécurisées disponibles, telles que les passkeys ou les clés de sécurité. Même les méthodes MFA moins robustes, comme les codes à usage unique envoyés par SMS, auraient probablement empêché cet exploit spécifique.