Une faille de sécurité dans l’intelligence artificielle de Meta, Meta AI, a été exploitée par des pirates pour prendre le contrôle de comptes Instagram, selon Journal du Geek. Le mécanisme de piratage, révélé par une vidéo partagée en ligne, reposait sur l’ajout frauduleux d’une adresse e-mail via l’IA, après avoir utilisé un VPN pour masquer l’origine de l’attaque.
D’après la démonstration technique, les attaquants auraient exploité un dysfonctionnement de Meta AI, utilisé pour le support client sur Facebook et Instagram, afin de contourner les protocoles de vérification des comptes. La procédure nécessitait deux étapes : d’abord, l’utilisation d’un réseau privé virtuel (VPN) pour dissimuler l’adresse IP, puis l’envoi d’une requête à l’IA pour ajouter une nouvelle adresse e-mail associée au compte visé. Une fois cette opération validée par l’outil, les pirates pouvaient prendre le contrôle du profil ciblé.
Ce qu'il faut retenir
- Une faille dans Meta AI a permis à des hackers d’infiltrer des comptes Instagram en ajoutant une adresse e-mail frauduleuse.
- La technique reposait sur l’utilisation d’un VPN suivi d’une commande passée à l’IA pour modifier les paramètres du compte.
- Meta affirme avoir déjà corrigé le problème, sans préciser depuis quand la faille était active.
- Cette attaque met en lumière les risques liés à l’intégration croissante de l’IA dans les services de sécurité et de support.
Une faille dans le support technique automatisé de Meta
Meta AI joue un rôle central dans l’assistance aux utilisateurs de Facebook et Instagram, en répondant aux questions fréquentes et en facilitant certaines actions administratives. Cependant, cette automatisation, conçue pour améliorer l’expérience utilisateur, a révélé une vulnérabilité majeure. D’après la vidéo publiée par les chercheurs en cybersécurité, le bug permettait aux attaquants de manipuler les paramètres du compte sans déclencher les alertes de sécurité habituelles.
Le processus d’infiltration ne nécessitait pas de compétences techniques avancées, ce qui pourrait expliquer la propagation rapide de cette méthode parmi les cybercriminels. Une fois l’adresse e-mail frauduleuse ajoutée, les hackers pouvaient réinitialiser le mot de passe et prendre le contrôle total du compte, y compris l’accès aux messages privés et aux données personnelles.
Meta confirme la correction, mais l’étendue des dommages reste floue
Contacté par Journal du Geek, Meta a reconnu l’existence de la faille et affirmé l’avoir corrigée dans les plus brefs délais. « Nous avons identifié et résolu le problème, » a déclaré un porte-parole de l’entreprise, sans préciser depuis quand la vulnérabilité était exploitée ou si des comptes avaient effectivement été compromis. La société n’a pas non plus indiqué si d’autres services, comme WhatsApp ou Messenger, étaient concernés par cette faille.
Les experts en cybersécurité soulignent que les attaques ciblant les outils d’IA intégrés aux plateformes sociales sont en hausse. Ces méthodes, souvent moins complexes que les cyberattaques traditionnelles, exploitent des fonctionnalités conçues pour simplifier la vie des utilisateurs, mais qui deviennent des portes d’entrée pour les pirates.
Cette affaire rappelle l’importance de la vigilance, même lorsque les outils sont conçus pour faciliter l’expérience numérique. Les plateformes comme Meta doivent désormais concilier innovation et robustesse pour éviter que leurs innovations ne deviennent des failles exploitables.
Consultez l’historique des e-mails associés à votre compte et vérifiez les adresses ajoutées récemment. Activez la double authentification dans les paramètres de sécurité pour renforcer la protection.
À ce stade, Meta n’a pas communiqué sur une notification massive aux utilisateurs. L’entreprise se contente d’indiquer avoir corrigé le problème sans préciser l’étendue des comptes affectés.
