Des pirates informatiques ont exploité le chatbot de Meta pour détourner des comptes Instagram.
Meta a récemment fait part d'un incident de sécurité concernant son chatbot basé sur l'IA, après que des pirates informatiques ont exploité l'outil pour compromettre plusieurs comptes Instagram.
Quand les chatbots deviennent une vulnérabilité de sécurité
Selon l'enquête de Tuoi Tre Online , plusieurs sites web internationaux spécialisés en technologie suggèrent que l'attaquant a manipulé le chatbot de Meta pour ajouter de nouvelles adresses électroniques au compte cible, puis a utilisé le processus de réinitialisation du mot de passe pour en prendre le contrôle.
Cet incident met en lumière un nouveau risque lié à la vague d'entreprises intégrant l'IA dans leur service client, notamment lorsque les chatbots sont associés à des tâches sensibles telles que la vérification d'identité, la modification des informations de récupération ou l'assistance à la récupération de compte.
Il est important de noter que ce type d'attaque ne nécessite pas forcément de logiciel malveillant, de liens d'hameçonnage ou l'accès à l'adresse électronique principale de la victime. Les pirates exploitent plutôt le mécanisme d'assistance automatisé de la plateforme , ce qui amène le chatbot à effectuer des actions qui auraient dû faire l'objet d'une vérification d'identité rigoureuse.
Parmi les comptes touchés, on compterait plusieurs comptes importants, comme l'ancien compte Instagram de la Maison-Blanche datant de la présidence de Barack Obama, le compte de Sephora et celui d'un haut responsable de l'US Space Force. Après avoir été piratés, certains comptes ont vu leur contenu modifié ou ont servi à publier des messages sans rapport avec le sujet.
Meta a déclaré que le problème était résolu et que l'entreprise protégeait les comptes concernés. Toutefois, cet incident soulève une question cruciale : faut-il confier à l'IA la gestion d'étapes sensibles du processus de récupération de compte ?
En réalité, il ne s'agit pas d'une cyberattaque sophistiquée au sens traditionnel du terme. Les pirates n'ont pas besoin de déchiffrer le chiffrement ni d'infiltrer les serveurs. Ils « trompent » le chatbot avec des requêtes conçues pour faire croire au système que la personne qui le contacte est le titulaire légitime du compte.
Les experts en sécurité qualifient ce type d'attaque de manipulation d'IA, similaire à l'injection de requêtes. Avec les chatbots classiques, la conséquence pourrait se limiter à une réponse erronée. Mais lorsqu'un chatbot est connecté à un système habilité à modifier des informations de compte, réinitialiser des adresses e-mail ou faciliter la récupération de mots de passe, une simple erreur peut engendrer un véritable incident de sécurité.
Cet incident met également en lumière la frontière de plus en plus floue entre le support client et la sécurité des comptes. Auparavant, des actions telles que la modification des adresses e-mail de récupération, la réinitialisation des mots de passe ou la vérification de la propriété d'un compte nécessitaient des processus complexes, parfois avec une intervention humaine. Avec l'automatisation par l'IA, les systèmes ont besoin de protections renforcées et ne peuvent plus se contenter de la simple « compréhension contextuelle » des chatbots.
Que peuvent faire les utilisateurs pour protéger leurs comptes ?
Pour l'utilisateur lambda, cet incident rappelle que les comptes de réseaux sociaux peuvent être piratés même sans cliquer sur des liens suspects ni partager son mot de passe. Si la faille réside dans le processus d'assistance de la plateforme, les pirates pourraient trouver une solution pour accéder au compte.
Les utilisateurs d'Instagram devraient activer l'authentification à deux facteurs, de préférence via une application dédiée plutôt que par SMS. Il s'agit d'une protection essentielle en cas de compromission de votre mot de passe ou de piratage de votre compte pendant la procédure de récupération. Par ailleurs, vérifiez l'adresse e-mail et le numéro de téléphone associés à votre compte afin de vous assurer qu'aucune information inconnue n'y a été ajoutée.
Les utilisateurs doivent également vérifier régulièrement leurs sessions de connexion, les appareils utilisés pour accéder à leur compte et les autorisations des applications tierces. S'ils reçoivent une notification par courriel indiquant que leur mot de passe a été modifié, qu'une nouvelle adresse courriel a été ajoutée ou qu'ils se sont connectés depuis un appareil inconnu, ils doivent y remédier immédiatement au lieu de l'ignorer.
Les risques sont particulièrement élevés pour les comptes comptant de nombreux abonnés, les comptes commerciaux, les créateurs de contenu ou les marques. Un compte Instagram piraté peut servir à escroquer des clients, à diffuser du contenu malveillant ou à nuire à la réputation d'une entreprise.
L'incident chez Meta illustre un défi majeur pour le secteur technologique : l'IA s'intègre de plus en plus aux processus opérationnels, mais tous ne peuvent être entièrement automatisés. Pour les opérations liées à la sécurité des comptes, l'IA doit jouer un rôle de soutien, la décision finale devant être contrôlée par un mécanisme de vérification indépendant.
Dans la course à l'intégration de l'IA dans tous les produits, la rapidité ne doit pas être la seule priorité . Plus un chatbot est puissant, plus les conséquences d'une tromperie sont graves. Pour les utilisateurs, la meilleure défense reste de renforcer la sécurité de leur compte dès le départ, avant tout incident.
Source : https://tuoitre.vn/hacker-danh-lua-ai-cua-meta-chiem-quyen-tai-khoan-instagram-20260605112903826.htm
