34 000 comptes Instagram piratés avec l’aide du robot IA d’assistance de Meta
Mickael Bazoge
Le 11 juin à 06h50
Révélées début juin, les failles de l’assistance IA générative de Meta ont finalement permis à des personnes malveillantes de récupérer l’accès à quelque 34 000 comptes Instagram, affirme le New York Times sur la base de documents internes.
34 000 comptes Instagram piratés avec l’aide du robot IA d’assistance de Meta
Révélées début juin, les failles de l’assistance IA générative de Meta ont finalement permis à des personnes malveillantes de récupérer l’accès à quelque 34 000 comptes Instagram, affirme le New York Times sur la base de documents internes.
IA et algorithmes
IA
3 min
L’incroyable légèreté de Meta a permis à des pirates de s’emparer de 34 000 comptes Instagram, parmi lesquels ceux de la Maison Blanche sous administration Obama, d’un responsable militaire américain, ou encore d’entreprises de premier plan. La faille a été corrigée depuis, mais le robot reste en place.
Le robot d’assistance de Meta chargé de la gestion des comptes Instagram avait l’IA qui flanche. Mis en route au mois de mars, il pouvait réaliser des opérations critiques, comme le changement de l’email associé à un compte, ou encore la réinitialisation du mot de passe. Les pirates, armés d’un VPN (pour apparaitre dans le même pays que leur victime) et d’une bonne tchatche, ont poussé le bot à lancer la procédure de récupération de compte.
Grâce à cette méthode d’injection de prompts, ils ont pu prendre possession de milliers de comptes : environ 34 000, selon des chiffres internes consultés par le New York Times. 20 000 d’entre eux ont été compromis, donnant aux hackers un accès aux adresses email associées, aux numéros de téléphone, aux dates de naissance et à d’autres données personnelles. Plus de 3 500 comptes piratés ont subi un détournement de leur nom d’utilisateur.
Une vulnérabilité corrigée mais non expliquée
Meta explique ne pas être en mesure de déterminer les informations consultées ou dérobées, ce qui n’est pas rassurant. La vulnérabilité a été bouchée. Un porte parole indique que « certaines de nos vérifications internes côté serveur n’ont pas fonctionné dans ce cas précis, mais cela n’était pas dû à l’agent d’IA lui-même », tente-t-il de rassurer. L’entreprise affirme également que ses agents dédiés au service client ont permis d’augmenter de 30 % le nombre de comptes récupérés après un piratage aux États-Unis et au Canada l’an dernier.
L’incident n’en reste pas moins très problématique pour Meta, qui dépense des dizaines de milliards de dollars dans les infrastructures IA, et injecte cette technologie partout où c’est possible, parfois en dépit du bon sens. Hasard malheureux du calendrier, le groupe a présenté la semaine dernière un nouveau service permettant aux organisations et aux entreprises d’utiliser des chatbots IA pour gérer les prises de rendez-vous pour les clients et compléter des transactions.
Il n’est pour autant pas question de remiser au placard cet agent dédié au SAV d’Instagram. Malgré ces piratages, les documents internes indiquent que Meta maintient tous les produits en service, se contentant de suspendre une « expérimentation en cours » (le système d’oubli de mot de passe).
Commentaires (0)
Abonnez-vous pour prendre part au débat
Déjà abonné ou lecteur ? Se connecter
Cet article est en accès libre, mais il est le produit d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles d'un média expert
Profitez d'au moins 1 To de stockage pour vos sauvegardes
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousSignaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?