Meta confirme le piratage de milliers de comptes Instagram via l’exploitation de son chatbot IA

 (this.weekinsecurity.com)
1 points par GN⁺ 7 시간 전 | 1 commentaires | Partager sur WhatsApp
  • Une faille du système de récupération de compte assisté par IA d’Instagram a permis l’envoi de liens de réinitialisation de mot de passe vers des adresses e-mail contrôlées par des attaquants, rendant possible la prise de contrôle de comptes
  • D’après la notification de violation de données, Meta a informé au moins 20 225 personnes d’une compromission de leur compte
  • Les attaquants pouvaient prendre le contrôle de l’intégralité du compte Instagram ainsi que des comptes liés, et accéder aux coordonnées, à la date de naissance, aux informations de profil, aux publications, aux messages privés et à l’activité du compte
  • Un bug dans un chemin de code distinct ne vérifiait pas correctement la correspondance entre l’e-mail de la demande et celui associé au compte, ce qui a permis d’abuser de la réinitialisation de mot de passe sur des comptes où la double authentification était désactivée
  • Meta a désactivé le chatbot IA et supprimé le chemin de code de réinitialisation de compte, tout en auditant aussi d’autres chatbots pour éviter une récidive

Ampleur de l’incident et données potentiellement accessibles

  • Dans une notification de violation de données, Meta a informé au moins 20 225 personnes d’une compromission de compte, dont 30 résidents du Maine
  • La compromission pouvait conduire à la prise de contrôle complète du compte Instagram et des comptes liés, avec accès aux coordonnées, à la date de naissance, aux informations de profil, aux publications, aux messages privés et à l’activité du compte
  • Meta indique ne pas savoir quelles données personnelles ont réellement été consultées pendant les piratages

La faille et son exploitation

  • L’incident est lié à une faille du système de récupération de compte assisté par IA pour Instagram, exploitée pour réinitialiser les mots de passe de comptes d’utilisateurs Instagram
  • Ce défaut permettait à n’importe qui de réinitialiser le mot de passe de comptes sans double authentification activée, le chatbot envoyant le code de confirmation à une adresse e-mail contrôlée par l’attaquant au lieu de celle du propriétaire du compte
  • En raison d’un bug sur un chemin de code distinct, le système ne vérifiait pas correctement que l’adresse e-mail fournie par la personne demandant la réinitialisation correspondait bien à celle liée au compte Instagram concerné
  • Lorsque le système recevait une adresse e-mail jamais associée auparavant au compte, il ne rejetait pas la demande et envoyait le lien de réinitialisation à cette adresse, permettant à un tiers non autorisé de recevoir un lien de réinitialisation pour un compte ne lui appartenant pas
  • À ce stade, l’attaquant pouvait réinitialiser le mot de passe de la victime et prendre le contrôle du compte en se faisant passer pour son propriétaire légitime
Publicité

Période et notification aux utilisateurs

  • Selon la liste du Maine, les piratages auraient commencé vers le 17 avril et se seraient poursuivis jusqu’à cette semaine, moment où Meta a sécurisé le chatbot
  • Instagram a commencé en début de semaine à envoyer des notifications de réinitialisation de mot de passe aux personnes concernées, certaines signalant que les piratages étaient toujours en cours
  • Meta a demandé aux utilisateurs touchés de réinitialiser leur mot de passe et de se réauthentifier via des canaux sûrs et vérifiés

Réponse de Meta et zones d’ombre restantes

À lire aussi

1 commentaires

 
GN⁺ 7 시간 전
Avis sur Hacker News

  • Dans la notification d’incident de Meta, il est écrit que « l’outil lui-même fonctionnait normalement, comme prévu, mais un bug dans un chemin de code distinct n’a pas correctement vérifié que l’adresse e-mail fournie par la personne demandant la réinitialisation du mot de passe correspondait bien à celle du compte Instagram concerné », mais il ne semble pas juste d’appeler ça un fonctionnement normal ou conforme à l’intention

    • En italien, il existe l’expression « l’opération a parfaitement réussi, mais le patient est mort »
    • Cette phrase se lit comme : « ça a fonctionné tel que rédigé, et nous déclinons toute responsabilité ou garantie pour les dommages consécutifs ou accessoires de ce logiciel »
      Je continue de penser que, pour corriger beaucoup de choses aux États-Unis, il faudrait mettre à jour l’UCC[1] afin d’empêcher les clauses de non-responsabilité pour les logiciels intégrés dans des produits
      [1] Universal Commercial Code -- https://www.law.cornell.edu/ucc
    • En gros, l’outil a correctement fonctionné comme prévu, sauf qu’à cause d’un bug il n’a fonctionné ni correctement ni comme prévu
    • Ça ressemble beaucoup aux excuses que Claude ou ChatGPT sortent quand on leur signale qu’ils ont tort, ou quand on leur demande une réponse de support client sur un problème logiciel
    • La logique ici est que l’IA n’est qu’une page de saisie joliment emballée
      Le formulaire qui prend un nom d’utilisateur et une adresse e-mail et les envoie à une fonction backend a bien fonctionné comme prévu ; le problème, c’est que la fonction backend n’a pas vérifié que l’e-mail correspondait au nom d’utilisateur

  • « Meta a averti au moins 20 225 personnes que leur compte avait été compromis… les hackers pouvaient prendre le contrôle total de l’Instagram de la victime et des comptes liés, et accéder non seulement aux coordonnées, à la date de naissance et aux informations de profil, mais aussi aux publications, aux DM et à l’activité du compte… le piratage a commencé vers le 17 avril et s’est poursuivi jusqu’à cette semaine », donc c’est une ampleur choquante

    • Je n’aime pas Meta, mais je pense qu’il faut juger ce qui est « choquant » à partir de la proportion d’utilisateurs affectés, pas du chiffre absolu
      Ce serait choquant pour une PME de 100 000 clients, mais pour un géant d’internet avec 3 milliards d’utilisateurs actifs mensuels, c’est mauvais sans être forcément « choquant »
    • On dirait que les hackers ont pu éviter la détection parce que Meta autorise explicitement le trafic de bots à faire à peu près n’importe quoi sur ses services
      J’aimerais qu’on n’essaie pas de faire croire que des gens sont arrivés en masse comme une armée pour compromettre les comptes un par un
    • J’espère seulement que l’UE infligera une amende GDPR très proche du plafond de 4 % du chiffre d’affaires mondial
      Cela dit, j’ai des doutes sur la capacité réelle de l’UE à agir correctement quand il faut effectivement protéger les clients

  • Le compte créé pour un nouveau produit a été désactivé définitivement par un système automatisé, sans aucun moyen de faire appel auprès d’un humain
    Si quelqu’un de chez Meta/Instagram voit ceci, j’ai mis les détails dans un court billet de blog et j’aimerais qu’on m’aide
    https://addisonwebb.com/blog/2026-06-05-Can%20Someone%20at%2...

    • Meta exige que le compte principal soit créé pour une personne, et non pour un produit, une entreprise ou une entité non humaine
      C’est pourquoi, après l’apparition d’une vérification « prouvez que vous êtes une personne », le compte principal a été verrouillé pour violation des règles de la communauté exigeant qu’il s’agisse d’une personne
      La page des règles de la communauté dans le lien envoyé est assez dense, donc si l’on ne publie rien d’évidemment interdit comme du contenu adulte, on peut facilement croire qu’on n’a rien enfreint
      La règle violée est la partie qui dit de ne pas créer de compte représentant une entité non humaine, comme une entreprise, un animal de compagnie ou un personnage virtuel
      Il faut suivre la procédure consistant à configurer une page d’entreprise à partir d’un compte personnel
      De nos jours, sur toutes les plateformes de réseaux sociaux, il est important de lire la procédure officielle pour créer une page d’entreprise, et elles subissent toutes la pression de bloquer l’assaut des pages de spam et d’arnaque
    • Malheureusement, c’est extrêmement courant ; dans le secteur, c’est presque un résultat prévisible lorsqu’on crée pour la première fois une page de marque ou de produit
      Si ça ne se débloque toujours pas, je recommanderais de contacter une agence de marque/publicité, de payer environ 100 dollars et de lui demander de faire remonter le dossier à son contact Meta pour obtenir le déblocage
      En pratique, il faut connaître quelqu’un qui connaît quelqu’un chez Meta pour créer ce type de compte
      Conseil : mieux vaut ne pas poster ce problème sur Twitter ou d’autres plateformes. Vous allez attirer énormément de spam automatisé
    • Une autre option serait d’utiliser un navigateur antidetect
      Ce sont des outils conçus notamment pour créer de nouveaux comptes
    • J’ai essayé de créer un compte totalement séparé pour un groupe meetup, et j’ai eu exactement le même problème ; rien n’y a fait
    • Cette partie est vraiment désastreuse
      Chaque fois que j’essaie de créer un compte pour un usage professionnel, on me demande une pièce d’identité en quelques minutes, puis le compte finit quand même banni
      Il faut tout gérer via un compte personnel

  • C’était déjà passé sur Hacker News il y a quelques jours (https://news.ycombinator.com/item?id=48359102)
    Ce n’était pas à propos des vérifications bâclées de Meta, mais une explication de la méthode réelle du piratage

  • J’aimerais que cela accélère encore le déclin de Meta
    Le monde s’adapterait très bien sans réseaux sociaux

    • Réalistement, quel impact cela aura-t-il sur Meta ? Quelques personnes seront en colère, mais les autres s’en moqueront et tout reprendra comme d’habitude
    • J’ai du mal à comprendre comment cette entreprise gagne encore plus d’un milliard de dollars de bénéfice net par trimestre
    • Quelle est l’alternative ? Une part importante de ces 22 000 comptes a probablement une grande audience qu’on ne peut atteindre qu’avec une plateforme de grande taille
      Malheureusement, Meta est presque la seule plateforme permettant de toucher des gens à travers de nombreux groupes démographiques, et l’important, ce sont les personnes qui suivent ces 22 000 comptes
      Elles n’ont pas été directement touchées par cette affaire, donc elles ne quitteront pas Meta, et 99 % d’entre elles ne sauront même pas que cela s’est produit, ou s’en moqueront

  • « Système de récupération de compte assisté par IA » : mais qu’est-ce que Meta est censé faire, au juste ?

    • Comment refuser un Kool-Aid aussi séduisant ?
      Cela dit, ils n’auraient vraiment pas dû le faire, et je me demande quel impact cette affaire aura sur les grosses IPO de l’IA.
      Meta est aussi l’un des grands acteurs du secteur, donc si eux n’y arrivent pas correctement…
    • La récupération de compte est, de très loin, le type de ticket le plus fréquent dans n’importe quel service.
      Parce que les gens oublient ou perdent leurs identifiants, se font pirater ou usurper leur identité, et ça, ce n’est qu’en ne comptant que les demandes légitimes.
      À cela s’ajoutent les demandes illégitimes, depuis les script kiddies du quotidien jusqu’aux maîtres-chanteurs cherchant une rançon, ceux qui veulent voler des handles « de valeur », ou encore les acteurs étatiques qui cherchent à accéder aux DM de personnes envoyant des messages à des comptes anti-gouvernementaux.
      Il en découle trois choses. Faire examiner ces tickets par des humains coûte très cher, qu’on traite ou non les demandes le risque de dégâts en matière de relations publiques peut être énorme, et les utilisateurs·clients vont des personnes les plus intelligentes et riches du monde jusqu’aux touristes au jugement pire que celui d’un ours[1], ou à des gens incapables d’écrire correctement.
      Pire encore, les services en ligne n’ont souvent aucun moyen de se rattacher à une pièce d’identité émise par l’État, parfois même pas à un substitut comme une carte SIM de téléphone, la corruption peut s’infiltrer à tous les niveaux, et les cibles particulièrement « juteuses » peuvent représenter des millions de dollars si leur valeur peut être monétisée.
      Rien qu’Instagram compte 3 milliards d’utilisateurs dans le monde, donc le support utilisateur ne peut qu’entraîner des coûts énormes, il faut en plus gérer quelque 7 000 langues activement utilisées dans le monde[2], et même quelqu’un d’aussi puissant que le président des États-Unis ou d’aussi riche qu’Elon Musk peut devenir une cible.
      Il est évident que la gestion des risques de l’idée dans son ensemble était affreusement insuffisante, mais il ne faut pas non plus faire comme si ce domaine était un problème mineur au départ.
      C’est bien pour cela qu’on pousse l’IA : si elle est bien conçue, elle peut alléger de façon majeure le travail du support de premier niveau pour un coût bien plus faible.
      [1] https://velvetshark.com/til/til-smartest-bears-dumbest-touri...
      [2] https://www.sapiens.org/language/world-languages-counting-me...

  • Il faudrait corriger le titre en : « Meta confirme que des milliers de comptes Instagram ont été piratés à cause d’un chatbot IA non sécurisé »

  • Quand on construit ce genre de chose, je ne comprends pas pourquoi la question « l’utilisateur peut-il demander une autre adresse e-mail ? » n’a pas été littéralement le tout premier test.
    C’est trop gros, donc on ne teste rien du tout ?

    • L’essence même de cette invention, c’est de libérer les gens du fardeau d’avoir à réfléchir.
      Il y aura des exceptions, mais la plupart veulent utiliser l’IA dans l’idée qu’ils peuvent se permettre d’être paresseux.
    • Pour leur défense, ils ont probablement demandé au LLM de ne pas faire d’erreur.
    • Parce que l’industrie du logiciel confond la simplicité de l’expérience utilisateur avec la simplicité de l’expérience de développement.
      Il est très possible qu’au moment du développement, ils n’aient pensé ni à l’expérience utilisateur, ni même à celle du support.
      Ils ont probablement regardé uniquement leur propre expérience de développement, demandé à un LLM de fabriquer un chatbot, ça a marché, puis cette rapidité a été documentée, remontée à la hiérarchie et utilisée pour encourager l’investissement des actionnaires.
      S’il y avait eu une vraie réflexion en amont, cela aurait contredit le récit selon lequel l’IA allait devenir ingénieur ou multiplier la productivité par 100.

  • Il suffit de voir l’absurde et lamentable « chatbot Q&R » sous certains posts Facebook, ainsi que le système incapable, la plupart du temps, de distinguer les commentaires inappropriés de ceux qui ne le sont pas, pour comprendre à quel point Meta est à la traîne en IA.