Instagram – Le chatbot de Meta donnait les clés des comptes
Le support de Meta, quand vous contactez Instagram pour un souci de compte, c’est 100% IA maintenant. Je l’ai fait y’a pas longtemps et c’est assez surprenant, même s’il faut le reconnaitre, ça fonctionne bien. Et si je vous parle de ça ce matin, c’est que pendant des semaines, ce chatbot a refilé l’accès à des comptes à qui savait lui raconter la bonne histoire.
Et c’est pas un exploit de génie ni une faille bien planquée mais juste un bot de support trop serviable à qui on explique qu’on s’est fait pirater, et qui envoie le code de réinitialisation… sur l’adresse mail de l’attaquant. Oui, il est aussi précautionneux de vos accès que votre gardien d’immeuble ^^.
En gros l’attaquant écrit au support IA, prétend être le proprio d’un compte “piraté”, demande à recevoir les codes sur son email et l’IA accepte l’adresse sans sourciller. Hop, un petit lien de reset, un nouveau mot de passe, et le vrai propriétaire ne voit rien venir !
Bon, ce n’était pas magique non plus, mais une fois le bot embobiné, il lâchait l’accès.
Le truc à retenir surtout, c’est que la
double authentification
, elle, a bien fait barrage. Les comptes qui l’avaient activée n’ont pas été pris, donc si vous traînez sur Insta sans, allez l’activer tout de suite !
Parce que les dégâts ont été bien réels. Des comptes à grosse visibilité y sont passés, dont le compte dormant @obamawhitehouse et ses millions d’abonnés, qui s’est remis à publier n’importe quoi avant d’être nettoyé.
Des groupes Telegram s’étaient montés autour de ces prises de contrôle, des chercheurs comme ZachXBT ont suivi le mouvement, et les pseudos courts comme @hey valaient une petite fortune au marché noir. En gros, un vrai business du vol de compte monté sur le dos d’un chatbot !
Y’a 10 ans, c’était déjà la récupération de compte qui faisait tomber des comptes Facebook encore aujourd’hui le maillon faible n’a pas changé…
Meta a corrigé le problème en urgence et dit avoir sécurisé les comptes touchés.
Si vous pensez être victime, direction “Mot de passe oublié” puis “Mon compte a été piraté”, et une fois récupéré, vérifiez bien que l’email et le numéro liés au compte sont les vôtres (l’attaquant a pu les remplacer) avant de dégager les sessions inconnues. Pour le reste, un petit tour par
les bons réflexes de sécurité
ne fait jamais de mal.
Bref, activez la double authentification et j’espère qu’un jour, les grosses boites arrêteront d’utiliser l’IA pour garder leurs clés.
Leave a Comment