D’après les informations de 404 Media du 1er juin, Meta a confirmé que des hackers exploitaient une faille de sécurité de ses robots d’assistance client IA pour réussir à prendre le contrôle de plusieurs comptes Instagram bien connus. Les comptes touchés incluent le compte officiel d’Instagram de la période de la Maison-Blanche de l’ancien président américain Barack Obama, la marque de beauté Sephora, ainsi que le compte officiel du sergent-major de la Force spatiale des États-Unis.
Chaîne d’attaque complète : comment l’assistance client IA a été contournée
D’après une vidéo partagée sur Telegram par la communauté de hackers et des chercheurs en cybersécurité cités par 404 Media, le déroulement de cette attaque est désormais confirmé :
Falsification de localisation : les attaquants utilisent un VPN pour falsifier la zone géographique de connexion afin qu’elle corresponde au pays ciblant le compte visé
Envoi de demandes : envoyer une conversation au robot d’assistance client Meta AI pour demander de lier le compte cible à une nouvelle boîte e-mail fournie par l’attaquant
Réception du code de vérification : le robot d’assistance client Meta AI envoie un code de vérification à 8 chiffres à la nouvelle adresse e-mail fournie par l’attaquant
Achèvement du piratage : l’attaquant saisit le code de vérification dans l’interface de discussion, obtient les droits de réinitialisation du mot de passe et prend entièrement le contrôle du compte IG visé
La déclaration officielle de Meta indique que lorsque l’e-mail d’un compte est modifié, le système devrait envoyer à l’adresse d’origine une notification contenant un lien de restauration spécial, mais la faille du robot d’assistance client Meta AI a empêché ce mécanisme de se déclencher correctement.
Réponse officielle de Meta : la faille est corrigée, le nombre de comptes touchés n’a pas encore été communiqué
Meta a confirmé que l’incident de cybersécurité est bien réel, que la faille a été corrigée, et qu’elle aide actuellement les comptes touchés à renforcer leur protection. Le nombre total de comptes touchés n’a pas encore été divulgué au moment de la publication.
L’assistant client Meta AI a été lancé au début de 2026. Il prétend aider les utilisateurs à traiter des requêtes essentielles telles que la réinitialisation de mots de passe et la restauration de sécurité du compte. Quelques mois après son lancement, l’attaque de cette nature a pourtant éclaté.
Contexte des licenciements : 8 000 postes supprimés annoncés le 20 mai 2026
Mark Zuckerberg a envoyé, le 20 mai 2026, une notification de licenciement aux employés du monde entier, supprimant environ 8 000 postes (soit 10% des effectifs). L’objectif est de réduire les coûts d’exploitation afin de répondre à des dépenses en capital en IA prévues allant jusqu’à 125 à 145 milliards de dollars, et de promouvoir une gestion plus horizontale.
D’après un article de Wired, Meta a enregistré au premier trimestre 2026 un record de bénéfices de près de 27 milliards de dollars, mais le moral des employés internes est tombé au plus bas. Après avoir confirmé que des comptes avaient été attaqués, Huang Wenjin a déclaré publiquement : « Félicitations à Meta d’avoir licencié l’équipe Confiance et Sécurité (T&S) et d’avoir confié le support des comptes à des robots IA faciles à tromper pour qu’il soit automatisé. » Meta n’a fourni aucune explication officielle concernant l’ampleur du licenciement du personnel T&S et son impact sur les capacités de cybersécurité.
FAQ
Quel est le problème central de la faille du robot d’assistance client Meta AI ?
D’après le rapport de 404 Media, lorsque le robot d’assistance client Meta AI reçoit une demande de modification de l’e-mail d’un compte, il envoie le code de vérification à la nouvelle boîte e-mail fournie par l’attaquant, sans exiger le déclenchement d’un mécanisme de sécurité consistant à envoyer une notification ou un lien de restauration à l’adresse d’origine. Dans un processus normal, la modification de l’e-mail devrait envoyer une notification à l’adresse d’origine, mais l’implémentation du robot d’assistance client IA a contourné cette vérification.
Quels comptes célèbres ont confirmé être touchés, et Meta a-t-elle publié le nombre total de comptes concernés ?
Les comptes célèbres dont l’atteinte a été confirmée incluent le compte Instagram officiel de la période de la Maison-Blanche de l’ancien président américain Barack Obama, la marque de beauté Sephora, ainsi que le compte officiel du sergent-major de la Force spatiale des États-Unis. Meta a confirmé que l’attaque a eu lieu, mais n’a pas publié le nombre total de comptes touchés au moment de la publication.
Le plan de licenciements de Meta et cet incident de cybersécurité ont-ils un lien direct ?
L’ancienne employée de Meta, Huang Wenjin (Jane Manchun Wong), a déclaré publiquement que, après le licenciement de l’équipe T&S, le support des comptes serait traité par des robots IA, et a indiqué que c’est l’un des facteurs qui ont permis la réussite de cette attaque. Meta n’a fourni aucune explication officielle concernant l’ampleur précise du licenciement du personnel T&S, ni sur l’impact de cela sur la capacité globale de protection en cybersécurité.
