On pensait que son compte Instagram était tranquille derrière un mot de passe et une 2FA. Mais il n’en est rien. Meta a eu la brillante idée d’intégrer son IA support directement dans Instagram, et les résultats sont aussi prévisibles que catastrophiques : une vulnérabilité de prompt injection permet à n’importe qui de prendre le contrôle d’un compte, à condition que la cible ait la fonctionnalité activée (apparemment en A/B test).
Le mode opératoire est d’une simplicité déconcertante. On se connecte via un proxy ou VPN dans la région du compte, on demande à l’agent d’envoyer un code de réinitialisation à une adresse email arbitraire, on reçoit le code, on le passe à l’agent, et hop, il refile un lien de réinitialisation de mot de passe. On se connecte, le compte est à soi. Pas besoin d’être un hacker 1337, juste de savoir parler à une IA.
D’après des sources sur Hacker News, l’exploit circule déjà dans les cercles blackhat et aurait permis de détourner plus de 100 comptes à forte valeur ajoutée. Le souci, c’est que la faille est connue depuis au moins quelques jours, et Meta n’a toujours pas réagi. Un utilisateur rappelle que ce n’est pas la première fois : en février dernier, une autre faille permettait de récupérer l’email et le numéro de téléphone de n’importe quel compte, sans que Meta ne daigne répondre. « Ils devraient déposer un 8-K à la SEC pour un truc pareil », s’indigne le même commentateur.
Cerise sur le gâteau : même si ce n’est pas encore confirmé, il est possible que la vulnérabilité soit toujours active. Meta n’a pas communiqué, pas patché, rien. La solution la plus simple serait de désactiver la fonctionnalité d’IA support le temps de corriger le tir et de restaurer les comptes piratés, mais on parle de Meta. La même boîte qui a laissé traîner des failles pendant des mois.
Du coup, il faut désactiver l’IA support dans les paramètres Instagram si on l’a. Changer son mot de passe au cas où. Et espérer que Meta se réveille avant que le compte finisse entre les mains d’un type sur Telegram. Mais ne retiens pas ton souffle.
Comments are closed