Le chatbot IA de Meta a aidé les hackers à compromettre les comptes Instagram, y compris celui de la Maison Blanche

Le chatbot IA de Meta a aidé les pirates à prendre le contrôle des comptes Instagram, y compris celui de la Maison Blanche

Le chatbot d'assistance IA de Meta a été utilisé avec succès par des pirates pour compromettre des comptes Instagram grâce à une simple ingénierie sociale. La vulnérabilité permettait à quiconque d'accéder au profil d'une autre personne, en demandant simplement au chatbot de modifier l'adresse email liée et de réinitialiser le mot de passe.

Comment fonctionnait l'exploitation

Les pirates ont publié des vidéos sur Telegram démontrant le processus de piratage étape par étape. L'attaque a commencé en contactant le chatbot d'assistance IA de Meta. Le pirate demandait de l'aide prétendument pour récupérer l'accès au compte, sans fournir de vérification suffisante.

Le système IA, non protégé contre l'ingénierie sociale, satisfaisait toutes les demandes. Le chatbot changeait l'adresse email liée au profil cible à l'adresse du pirate. Ensuite, il ne restait plus qu'à réinitialiser le mot de passe via la méthode standard de récupération — envoyer un code de confirmation au nouvel email.

De cette façon, le contrôle total du compte passait aux mains de l'attaquant. Le processus était si simple que n'importe qui pouvait le reproduire. Les pirates n'ont même pas essayé de dissimuler la méthodologie, partageant la preuve vidéo en accès public.

Comptes de haut profil compromis

La vulnérabilité a affecté non seulement les utilisateurs ordinaires, mais aussi les profils d'État protégés :

• Compte officiel de la Maison Blanche @obamawhitehouse avec 10+ millions d'abonnés
• Compte du Chief Master Sergeant de l'Armée de l'air américaine
• Autres profils corporatifs et gouvernementaux de haut profil

Après avoir pris le contrôle du compte de la Maison Blanche, les attaquants ont commencé à publier du contenu avec de la propagande iranienne. L'incident a rapidement attiré l'attention des médias mondiaux, démontrant le niveau de vulnérabilité même des profils les plus protégés.

Position de Meta et correction

Meta a rapidement reconnu le problème et a déclaré que la vulnérabilité avait déjà été corrigée. L'entreprise a confirmé que l'exploitation était effectivement possible via la fonction d'assistance et que des protections supplémentaires avaient été mises en œuvre.

«

Nous avons déjà corrigé cette vulnérabilité », a déclaré Meta dans un communiqué officiel.

Cependant, l'entreprise a été avare de détails. Il reste flou de savoir si la vérification du propriétaire du compte dans le chatbot a été améliorée, ou si la logique du système IA lui-même a été modifiée. Meta n'a pas non plus révélé le calendrier de découverte du problème.

Que signifie cela

L'incident démontre une vulnérabilité critique dans la confiance des utilisateurs envers les systèmes IA. Quand même un compte protégé du gouvernement américain peut être compromis par quelques questions à un chatbot — c'est un signal que l'assistance IA a besoin d'un examen fondamental des approches de vérification. Pour les utilisateurs ordinaires, la leçon est claire : il est nécessaire de protéger non seulement les mots de passe, mais aussi les adresses email liées. La communication avec les chatbots IA avec des données personnelles nécessite une prudence maximale.

*Meta est reconnue comme une organisation extrémiste et est interdite en Fédération de Russie.