Guides pratiques pour vous protéger — vous, votre famille et votre entreprise — contre les arnaques liées à l'IA, les deepfakes et les nouvelles menaces cyber.
Entre le 17 avril et le début du mois de juin 2026, des pirates ont pris le contrôle de 20 225 comptes Instagram sans dérober le moindre mot de passe. Leur méthode tenait en une phrase : ouvrir une conversation avec l'assistant IA de support de Meta, le robot conversationnel chargé de traiter les demandes d'aide, et lui demander de réinitialiser le mot de passe de comptes qui ne leur appartenaient pas. Le robot s'est exécuté.
Ce qui doit retenir l'attention n'est pas qu'un agent conversationnel se soit laissé berner. C'est qu'on lui ait confié le pouvoir de réinitialiser des mots de passe, alors que le contrôle censé empêcher tout abus reposait sur une portion de code distincte, elle-même défaillante. Résultat : n'importe qui pouvait détourner un compte en formulant sa requête en langage courant.
Meta a révélé l'incident dans une notification adressée au procureur général de l'État du Maine le 5 juin 2026. Parmi les comptes volés figuraient des identifiants courts et recherchés, revendus de quelques centaines à quelques milliers de dollars sur des marchés gris, le compte dormant de la Maison-Blanche de l'ère Obama, ainsi que celui du Chief Master Sergeant John Bentivegna, le plus haut gradé du rang de l'US Space Force. C'est le média TechCrunch qui a publié le premier compte rendu, le 1er juin, après la diffusion sur X d'une vidéo montrant l'enchaînement complet.
Le procédé, lui, n'avait rien de sophistiqué. L'attaquant commençait par utiliser un VPN pour se faire passer pour un internaute situé dans la région de sa victime, contournant ainsi les contrôles antifraude d'Instagram fondés sur la géolocalisation. Il demandait ensuite à l'assistant IA d'ajouter une nouvelle adresse e-mail au compte ciblé. Le robot envoyait un code de vérification vers cette adresse contrôlée par le pirate, qui le lui communiquait en retour, avant de se voir proposer un bouton « Réinitialiser le mot de passe ». Un clic suffisait. La faille tenait à une vérification manquante : de l'aveu même de Meta, le système ne s'assurait jamais que l'adresse fournie par le demandeur correspondait bien à celle enregistrée pour le compte. Le chatbot faisait précisément ce qu'on lui demandait, et le garde-fou qui aurait dû déceler le mensonge était justement celui qui faisait défaut. Encore fallait-il que le compte visé ne dispose pas de l'authentification à deux facteurs (2FA), cette deuxième étape de connexion qui s'ajoute au mot de passe, comme un code fourni par une application dédiée.
Le préjudice concret est documenté : 20 225 comptes détournés, sept semaines d'exposition, des messages privés et des données personnelles passés entre des mains inconnues, et des comptes publics, gouvernementaux ou militaires, parmi les pertes. Pour votre propre organisation, la leçon dépasse le simple « Meta a commis une erreur ». Le support client, les services d'assistance informatique et les procédures de récupération de compte sont précisément les domaines où les entreprises déploient aujourd'hui des agents IA, parce que ces tâches sont répétitives et coûteuses. Dès lors qu'un tel agent peut accomplir une action sensible, réinitialiser un mot de passe ou ajouter une adresse de récupération, il hérite des pouvoirs de l'employé qu'il remplace, mais sans l'intuition qui pousse un humain à s'arrêter devant une demande étrange. Un agent au guichet aurait pu flairer l'anomalie. Le robot, lui, a traité la requête comme une routine. L'évolution de fond, celle qu'il faut porter à votre prochaine revue de sécurité, est de nature structurelle. Lorsque l'agent et la vérification reposent sur des portions de code séparées, un seul défaut dans le contrôle transforme un assistant avenant en contournement d'authentification, à l'échelle de tous les comptes à la fois. Les attaquants n'ont plus besoin de forcer la serrure : il leur suffit de s'adresser au système qui détient la clé.
Les attaquants n'ont pas tant percé les défenses de Meta qu'ils ne sont entrés par une porte laissée ouverte, sur laquelle était inscrit « support ». On a confié à un chatbot les clés de la récupération de compte, le contrôle chargé de valider chaque demande était silencieusement hors service, et 20 225 personnes en ont payé le prix. À mesure que les entreprises confient cette année la récupération de comptes, l'assistance et la relation client à des agents IA, la question à poser lors de votre prochaine réunion de planification est limpide. Si l'un de vos robots peut réinitialiser un mot de passe ou modifier une adresse de récupération, quel contrôle indépendant garantit que la personne qui le demande est bien celle qu'elle prétend être ? Vous pouvez activer l'authentification à deux facteurs sur votre propre compte via le guide officiel d'Instagram dédié à la double authentification.


