Une faille de sécurité dans l’assistant d’intelligence artificielle de Meta a permis à des pirates de détourner plusieurs comptes Instagram d’envergure, dont l’ancien profil de Barack Obama. Le chatbot pouvait réinitialiser les accès sur simple demande, sans vérification d’identité suffisante.Les informations à retenir
L’assistant IA de Meta gérait la récupération de comptes et la réinitialisation des accès.
Des pirates l’ont utilisé pour changer l’e-mail associé à des comptes Instagram ciblés.
Ils pouvaient ensuite réinitialiser le mot de passe et prendre le contrôle total du profil.
Des comptes très visibles, dont des profils institutionnels, ont été momentanément détournés.
Meta a déployé en urgence un correctif après la révélation publique de la faille.
Des pirates sont parvenus à détourner des comptes Instagram, parfois très visibles, en manipulant simplement le chatbot d’intelligence artificielle de Meta, la maison mère du réseau social. Le groupe a indiqué avoir déployé, dans la nuit du 1er au 2 juin, un correctif après la découverte de cette faille particulièrement embarrassante pour l’assistant IA.
L'affaire a été révélée par le média spécialisé 404 Media puis confirmée par several chercheurs en cybersécurité. Parmi les comptes compromis figurent notamment l'ancien compte Instagram de la Maison-Blanche sous Barack Obama ainsi que celui du sergent-major de l'US Space Force John Bentivegna. Des messages favorables à l'Iran y ont été publiés avant que les comptes ne soient repris en main. Le nombre total d'utilisateurs affectés n’est pas connu.
Les hackeurs n'avaient qu'à demander
L’agent d’aide aux utilisateurs de Meta, « Meta AI Support Assistant », a été lancé cette année pour automatiser certaines demandes sensibles comme la récupération de compte ou la réinitialisation de mot de passe. Les équipes du groupe ont toutefois omis quelques contrôles d’identité. Très rapidement, des pirates ont commencé à afficher leurs exploits sur Telegram, dévoilant comment ils ont réussi à convaincre l'assistant qu'ils étaient les propriétaires légitimes des comptes ciblés.
