Meta chiffre désormais l’incident qui a touché son outil d’assistance à la récupération de comptes Instagram. Plus de 20 000 profils on été compromis après l’envoi de liens de réinitialisation à des adresses mail contrôlées par les attaquants.
Une semaine après les premiers signalements, Meta reconnaît officiellement l’ampleur de la faille exploitée contre son support automatisé. Dans une notification de violation de données adressée au procureur général du Maine, l’entreprise confirme qu’une vulnérabilité dans High Touch Support, son outil d’aide à la récupération de comptes Instagram assisté par IA, a permis à des tiers non autorisés de modifier des mots de passe. D’après BleepingComputer, qui suit le dossier de près, 20 225 comptes Instagram auraient potentiellement été compromis.
Une faille dans le parcours de récupération, pas seulement un chatbot trop docile
Dans le détail, Meta indique avoir découvert le problème le 31 mai 2026. Le document fait toutefois remonter l’incident au 17 avril, ce qui laisse entendre que la faille a pu être exploitée pendant plusieurs semaines avant sa détection.
Le fonctionnement décrit par l’entreprise confirme que l’attaque ne reposait pas sur un piratage classique de mots de passe. Elle ne se résumait pas non plus à un chatbot berné par un VPN et quelques messages bien tournés. High Touch Support pouvait envoyer un lien de réinitialisation lorsqu’un utilisateur ou une utilisatrice n’avait plus accès à son profil, mais un bug dans un chemin de code lié à cette procédure empêchait la bonne vérification de l’adresse mail fournie. Le système pouvait donc transmettre le lien à une adresse qui n’était pas associée au compte Instagram ciblé.
En clair, un attaquant pouvait renseigner une adresse mail sous son contrôle, demander la récupération d’un compte qui ne lui appartenait pas, puis recevoir le lien destiné à changer le mot de passe avant de s'emparer du profil si la double authentification n’avait pas été activée.
Meta coupe HTS et promet de revoir ses procédures
Meta indique avoir sécurisé les comptes concernés afin d’empêcher tout nouvel accès non autorisé. L’entreprise a aussi désactivé High Touch Support, invalidé les liens générés par l’outil et placé les profils potentiellement touchés derrière un contrôle de sécurité obligatoire. Les utilisateurs et utilisatrices concernés doivent modifier leur mot de passe et se réauthentifier pour récupérer l’accès à leur profil.
Avant toute remise en service, Meta promet de corriger la vérification des adresses mail dans le parcours de récupération Instagram, puis d’examiner les procédures similaires sur ses autres plateformes afin d’y repérer d’éventuelles failles du même type.
