Le chatbot IA de Meta a aidé les pirates à prendre le contrôle de comptes Instagram

Des pirates ont systématiquement trompé le bot d'assistance alimenté par l'IA de Meta pour prendre le contrôle de comptes Instagram. The Guardian rapporte que les attaquants ont amené le chatbot à modifier les adresses e-mail de comptes de haut profil – une méthode pour ensuite réinitialiser les mots de passe et obtenir un contrôle total.

L'attaque a fonctionné de manière étonnamment simple : heise online documente que les pirates n'avaient qu'à « poser les bonnes questions » au bot pour obtenir l'accès. L'assistant automatisé, qui est censé aider les utilisateurs à récupérer leur compte, n'a pas vérifié suffisamment l'identité des attaquants et leur a accordé des droits d'administrateur. Plusieurs centaines de comptes ont été affectés sur plusieurs jours.

Cibles de haut niveau et risques de sécurité

Parmi les profils piratés se trouvait également le compte Instagram de la Maison-Blanche d'Obama, une cible de haut niveau qui souligne la gravité de la faille de sécurité. TechCrunch rapporte que les pirates ont ainsi démontré à quel point il était facile de contourner les mécanismes de sécurité de l'IA.

Meta n'a pas encore publié de déclaration officielle sur l'incident. Les experts en sécurité avertissent que les systèmes d'assistance basés sur l'IA représentent un nouveau vecteur d'attaque s'ils ne sont pas équipés de processus de vérification robustes. La faille soulève des questions sur la fiabilité des systèmes de sécurité automatisés utilisés pour la récupération de compte – un point critique où l'authentification devrait être particulièrement stricte.