Des pirates informatiques exploitent un outil d’assistance IA de Meta pour prendre le contrôle des comptes Instagram d’Obama, de Sephora et de la Space Force

Plusieurs comptes Instagram très en vue ont été piratés ce week-end après que des hackers ont exploité une faille dans l'assistant de service client alimenté par l'IA de Meta, suscitant de nouvelles inquiétudes quant au rôle croissant de l'intelligence artificielle dans la sécurité des comptes. Selon plusieurs rapports, notamment des enquêtes menées par The Guardian, 404 Media et des chercheurs en cybersécurité, des groupes de hackers pro-iraniens ont tiré parti de cette faille pour prendre le contrôle de comptes de premier plan liés à la Maison-Blanche sous l'administration Obama, à Sephora et à la Force spatiale des États-Unis. Plutôt que de s'introduire directement dans les systèmes internes de Meta, les attaquants auraient manipulé le chatbot de récupération automatisé de l'entreprise pour modifier les informations de récupération des comptes. Cet incident a relancé le débat sur la question de savoir si les systèmes d'IA devraient se voir confier des fonctions de sécurité sensibles qui étaient autrefois gérées par du personnel d'assistance humain qualifié.

Les enquêteurs affirment que l'attaque reposait sur une forme étonnamment simple d'ingénierie sociale. Après avoir masqué leur localisation à l'aide de réseaux privés virtuels conçus pour imiter la région géographique des titulaires de comptes ciblés, les pirates ont entamé des conversations avec l'assistant d'assistance IA de Meta dans le cadre du processus de récupération de compte. Le chatbot aurait permis aux attaquants de remplacer l'adresse e-mail associée au profil Instagram d'une victime sans exiger de vérification d'identité suffisante. Une fois l'adresse e-mail de récupération modifiée, les pirates ont simplement demandé une réinitialisation du mot de passe et ont reçu le lien de réinitialisation directement dans leur propre boîte de réception, bloquant ainsi l'accès aux propriétaires légitimes des comptes. Les chercheurs en cybersécurité ont décrit cette faille comme un exemple d'attaque dite par « injection de prompt », dans laquelle les utilisateurs manipulent un système d'IA pour qu'il effectue des actions allant au-delà de ce que ses mesures de sécurité étaient censées autoriser.

Meta a reconnu l'existence de cette vulnérabilité après que des vidéos démontrant l'exploitation de la faille ont commencé à circuler sur Telegram et X. La société a déclaré avoir corrigé la faille et s'être attelée à la restauration des comptes affectés. Réagissant publiquement aux informations relatives à cet incident, le porte-parole de Meta, Andy Stone, a écrit :

« Ce problème a été résolu et nous sécurisons les comptes concernés. » La société n'a pas révélé combien de comptes avaient été affectés avant que la vulnérabilité ne soit corrigée. Cette faille est particulièrement embarrassante pour Meta, car l'assistant d'assistance basé sur l'IA avait été lancé plus tôt cette année dans le cadre d'un effort majeur visant à moderniser la récupération des comptes et le service client sur Facebook et Instagram. La société avait présenté cette technologie comme un moyen plus rapide et plus simple pour les utilisateurs de récupérer l'accès à leurs comptes et de résoudre les problèmes liés à la sécurité sans avoir à attendre l'intervention d'un opérateur humain.

Parmi les victimes les plus en vue figurait le compte Instagram archivé associé à la Maison-Blanche de Barack Obama. Selon des informations rapportées par TMZ et des chercheurs en cybersécurité, des utilisateurs ont remarqué une activité inhabituelle sur le compte après qu'il a commencé à publier du contenu pro-iranien et de la propagande politique. L'une des publications les plus largement diffusées aurait présenté une image générée par l'IA accompagnée d'une légende traduite par :

« La Maison-Blanche est sous le contrôle des chiites. » Des captures d'écran du contenu se sont rapidement propagées sur les réseaux sociaux avant que Meta ne supprime les publications et ne rétablisse l'accès au compte. Les chercheurs ont noté que cette intrusion semblait davantage viser une déclaration politique qu'une opération financière, bien que les comptes Instagram volés soient fréquemment vendus sur les marchés clandestins pour des sommes importantes. L'incident a démontré comment une vulnérabilité dans un système d'assistance automatisé pouvait rapidement devenir un outil de communication géopolitique entre les mains d'acteurs hostiles.

Le compte Instagram officiel du sergent-chef de la Force spatiale John Bentivegna a également été piraté lors de cette même vague d'attaques. Les pirates ont utilisé le compte pour publier une série d'Instagram Stories pro-iraniennes et d'images de propagande avant que le contenu ne soit supprimé. Le matériel aurait inclus des messages anti-américains, des références aux tensions géopolitiques au Moyen-Orient et des enregistrements audio associés à des campagnes de guerre psychologique. Confirmant la violation, un porte-parole de la Force spatiale a déclaré : « Le compte Instagram officiel du sergent-chef de la Force spatiale des États-Unis a été piraté. Nous travaillons actuellement avec les équipes compétentes pour récupérer l'accès et résoudre le problème le plus rapidement possible. » L'armée a refusé de fournir plus de détails sur la nature de l'attaque ou d'indiquer si d'autres comptes de réseaux sociaux affiliés au gouvernement avaient été ciblés via la même faille.

Sephora figurait parmi les entreprises victimes de cette campagne. Des pirates ont brièvement pris le contrôle du compte Instagram officiel de Sephora Collection et publié du contenu explicite et choquant aux premières heures du 1er juin, avant que les publications ne soient supprimées. Peu après avoir récupéré l'accès, l'entreprise a publié une story Instagram temporaire informant ses abonnés que le compte avait été sécurisé. Cet incident met en évidence les risques plus généraux auxquels sont confrontées les organisations qui s'appuient fortement sur les plateformes de réseaux sociaux pour l'engagement client, l'image de marque et le marketing. Les experts en sécurité avertissent que la faille de Meta illustre comment les vulnérabilités des systèmes d'assistance basés sur l'IA peuvent créer de nouvelles surfaces d'attaque qui contournent entièrement les défenses traditionnelles de cybersécurité. Alors que les entreprises technologiques continuent d'intégrer l'intelligence artificielle dans des fonctions critiques de gestion des comptes, la campagne de prise de contrôle d'Instagram pourrait devenir l'un des premiers exemples majeurs de la manière dont un service client piloté par l'IA peut être utilisé comme une arme contre les utilisateurs mêmes qu'il est censé protéger.