#Le brief du 02 juin 2026

L’assistant IA de Meta permettait de voler des comptes Instagram

L’assistance IA mise en place par Meta pour la gestion des comptes Instagram a autorisé pendant plusieurs semaines n’importe qui d’assez malin à changer l’adresse e-mail associée à un compte. Les propriétaires légitimes se retrouvaient donc « enfermés dehors », incapables de se connecter à leur compte et de reprendre la main.

Depuis le mois de mars, les utilisateurs de Facebook et d’Instagram qui ont besoin d’aide pour gérer leur compte peuvent faire appel à un assistant IA spécialisé, « fiable, rapide, efficace, disponible en tout temps », promettait Meta. Un soutien « axé sur l’action » pour résoudre les problèmes de compte « de A à Z ». Ce qui signifie réaliser des opérations particulièrement sensibles comme la réinitialisation du mot de passe ou le changement de l’e-mail associé au compte.

Capture d’écran : 404media

Depuis la mise en place de ce nouveau mécanisme IA, plusieurs profils Instagram de premier plan, comme un compte appartenant à Barack Obama, celui de la marque Sephora ou du chef des sous-officiers de la Space Force, ont été piratés ces dernières semaines. Les propriétaires légitimes de ces comptes ne pouvaient plus y accéder et pour cause, l’adresse e-mail associée avait changé sans leur autorisation.

Le « nouveau » propriétaire du compte était alors en mesure de publier n’importe quel contenu, contacter les abonnés, diffuser des arnaques, revendre le compte à des tiers… 404media rapporte que Meta aurait corrigé la vulnérabilité qui ouvrait la porte à ces margoulins. C’est la méthode qui est intéressante ici : il ne s’agit pas d’une faille de sécurité à proprement parler, mais d’ingénierie sociale appliquée aux agents IA.

Sur Telegram, des chercheurs en sécurité et des groupes de hackers ont partagé des vidéos et des captures d’écran explicitant le mode opératoire pour voler un compte Instagram. Le scénario est le suivant : l’attaquant connaît le nom d’utilisateur Instagram de la cible ; armé d’un VPN, qui lui permet d’apparaître dans le même pays ou la même région que la victime, il lance une procédure de récupération de compte.

Après avoir ouvert une conversation avec l’assistant IA de Meta, le pirate convainc le bot de remplacer l’adresse e-mail associée au compte par une adresse qu’il contrôle. L’IA envoie alors un code de validation à cette nouvelle adresse. Une fois l’adresse modifiée, l’attaquant peut demander une réinitialisation du mot de passe et prendre le contrôle du compte.

L’IA de Meta aurait accepté une opération extrêmement sensible sans vérifier correctement que l’utilisateur était bien le propriétaire du compte. Cette technique d’injection de prompts contourne les sécurités habituelles liées à un changement d’adresse e-mail, une opération qui ne peut normalement pas être effectuée sans une authentification forte et un délai ou une validation depuis l’ancienne adresse. L’assistance de Meta bénéficiait donc manifestement de privilèges extrêmement élevés, sans qu’aucun garde-fou ne vienne mettre le holà.

En décembre dernier, OpenAI abordait les injections de prompts sur le fond, et admettait qu’il s’agissait d’un problème à long terme. Meta n’est pas le seul acteur IA à y faire face.

Alphabet veut lever 80 milliards : l’IA se finance par dilution même quand on s’appelle Google

Alphabet, maison mère de Google, a annoncé lundi 1ᵉʳ juin son intention de procéder à une levée de fonds en trois temps et à hauteur de 80 milliards de dollars, pour soutenir le développement de ses infrastructures dédiées à l’IA.

La levée de fonds (qui consiste donc à céder ou créer des actions en échange d’argent frais) parait un levier inhabituel pour une entreprise valorisée 4 500 milliards de dollars en bourse, à plus forte raison quand cette dernière a dégagé 174 milliards de dollars de cash flow opérationnel sur l’année 2025. Ce cash flow désigne pour mémoire les liquidités entrées dans les caisses de l’entreprise après paiement de ses charges d’exploitation, mais avant les dépenses d’investissements ou le remboursement de la dette.

Pour Alphabet, elle s’explique cependant simplement : la trajectoire d’investissements envisagée pour les infrastructures dédiées à l’intelligence artificielle générative est telle (entre 180 et 190 milliards de dollars prévus en 2026) qu’un financement sur fonds propres dégraderait la flexibilité de l’entreprise.

« Cette offre en actions s’inscrit dans le cadre du plan d’Alphabet visant à financer ses investissements de manière équilibrée tout en conservant un bilan sain », résume le groupe dans un communiqué dédié (PDF). Google précise à cette occasion avoir déjà réuni 85 milliards de dollars sous forme de dette (emprunts bancaires) en 2025, portant son encours total à plus de 100 milliards de dollars.

Illustration de Flock sur I/O 2024 axé sur l'IA
Illustration : Flock

La levée de fonds annoncée se décompose en trois tranches : 30 milliards de dollars d’actions dont le fonctionnement se rapproche d’obligations convertibles, 40 milliards d’actions qui seront émises au prix du marché à partir du troisième trimestre 2026 et 10 milliards de dollars de placement privé souscrits par Berkshire Hathaway, la société de gestion historiquement dirigée par Warren Buffet jusqu’en janvier dernier.

Google réaffirme à cette occasion sa confiance dans l’effet positif des développements liés à l’IA sur son activité. « Le chiffre d’affaires a progressé de 63 % en glissement annuel au premier trimestre 2026, le carnet de commandes ayant quasiment doublé d’un trimestre à l’autre pour atteindre plus de 460 milliards de dollars, dont environ 50 % devraient être comptabilisés en chiffre d’affaires au cours des 24 prochains mois », décrit le groupe.

Rappelons que ses concurrents Microsoft, Amazon, Meta et les spécialistes de l’IA que sont xAI (intégré à SpaceX), OpenAI et Anthropic multiplient eux aussi les manœuvres et les montages complexes pour financer leur course aux datacenters.

La France attaquée devant la CEDH dans une affaire de « pornographie du viol »

La France est mise en cause devant la Cour européenne des droits de l’homme par une femme victime de diffusion de captations vidéo de son viol.

Face à la Cour, elle dénonce la décision de la Justice française ne pas qualifier les faits de « traite des êtres humains » et interroge la manière dont l’État a évalué le consentement. 


Outre la prise de contact avec les victimes par l’intermédiaire d’un faux profil Facebook, l’affaire a par ailleurs impliqué la diffusion de « vidéos amateurs relevant de la pornographie du viol », représentant des sévices « particulièrement violents et dégradants, souvent accompagnés d’injures sexistes ou racistes ».

Sur le versant numérique, la requérante demande donc à la Cour européenne de se prononcer sur les mesures prises par les autorités françaises pour « protéger la dignité, l’intégrité et la vie privée de la requérante – victime présumée de violences sexuelles – notamment en empêchant la diffusion des vidéos la représentant lors des faits allégués ».

Balance de la justice

Comme le souligne le juriste Nicolas Hervieu, c’est la deuxième fois cette année que la France est mise en cause devant la CEDH pour une absence de suppression « rapide et définitive » des vidéos de viols accessibles en ligne.

La première plainte a été déposée par une autre femme, partie civile de l’affaire dite « French Bukkake ». Ce site internet diffusait des vidéos pornographiques et proposait aux abonnés, contre paiement, de participer à des tournages, voire d’obtenir des prestations sexuelles. Les mis en cause seront jugés aux Assises.

Dans les deux cas, les victimes qualifient la circulation des images de « victimisation secondaire », une description qui s’entend aussi du côté d’autres types de victimes de diffusion non consenties d’images à caractère sexuel (par exemple exposées à la diffusion d’images intimes initialement créées pour le cadre privé, pratique parfois qualifiée de « revenge porn »).

En 2024, Google avait été condamné par le tribunal de Paris à verser 2 000 euros à une plaignante pour avoir tardé à déréférencer des vidéos dans lesquelles elle apparaissait.

Booba condamné pour injures racistes et cyberharcèlement

Le tribunal correctionnel de Paris a condamné ce 2 juin le rappeur Booba, Ellie Yaffa de son vrai nom, à trois mois de prison avec sursis et 30 000 euros d’amende pour des faits de cyberharcèlement et d’injure raciale envers la journaliste de France Télévision Linh-Lan Dao.

Cette dernière a porté plainte en avril 2024, critiquant le rôle de l’artiste dans la campagne de violence qui l’avait visée après la publication d’un article de débunkage sur les liens entre vaccin à ARN messager et maladie de Creutzfeldt-Jakob.

Suivi par plus de 6 millions d’abonnés au moment des faits, Booba avait publié une capture d’écran de l’article, puis proposé à la journaliste un « strip poker sans cartes » autour d’un « wok de légumes ». 
Il ne s’est pas présenté à l’audience, qui s’est tenue le 1er avril 2026. À la barre, Linh-Lan Dao avait de son côté décrit la « journée horrible » de déclenchement de la campagne, à la suite de laquelle sa productivité et sa présence sur X avaient baissé.

Pour le tribunal, « la dimension sexiste du discours et celle essentialisante, à raison de ses origines asiatiques, destinées à renvoyer la journaliste Linh-Lan Dao à sa seule qualité de femme asiatique, lui confèrent à l’évidence un caractère malveillant ».

Le rappeur a été condamné à verser 4 000 euros de dommages-intérêts à la partie civile, indique l’AFP.

Dans un autre dossier étudié à la même audience, Booba par ailleurs été condamné à 20 000 euros d’amende pour injure raciale contre le chroniqueur Tristan Mendès-France, qui dénonçait sur X le cyberharcèlement visant Linh-Lan Dao. Booba avait publié des messages évoquant son nez, ce que le tribunal a qualifié de « reprise du stéréotype antisémite le plus éculé ».

Le rappeur fait appel des deux condamnations.

Anthropic élargit l’accès à Mythos à une quinzaine de pays

Mythos est certes le modèle le plus ambitieux d’Anthropic, c’est aussi un excellent moyen pour le labo IA de faire sa promotion à moindre frais, à quelques encablures de son introduction en Bourse. Nouvelle illustration aujourd’hui, avec le déploiement du projet Glasswing à davantage de participants et à une quinzaine de pays, et probablement aussi l’Union européenne.

Anthropic ouvre un peu plus grandes les portes du projet Glasswing. Ce programme, qui donne accès à un aperçu de Mythos, compte désormais plus de 150 organisations dans plus de 15 pays, au-delà donc des seuls États-Unis et Royaume-Uni. L’entreprise ne précise ni les organisations, ni les pays, mais l’Union européenne pourrait (le conditionnel est toujours de mise) faire partie du lot. Ce n’est en tout cas pas faute d’essayer !

Illustration : Flock

Pour le moment, Bruxelles ne confirme rien, si ce n’est que des discussions sont toujours en cours. L’ENISA, l’agence de l’UE pour la cybersécurité, pourrait être la première du bloc à avoir accès à Mythos, croit savoir Bloomberg. En attendant une annonce officielle, Anthropic précise que le projet Glasswing demeure un club très fermé : les membres doivent en effet montrer patte blanche avant de pouvoir utiliser cet aperçu. La startup veut continuer à élargir le cercle des élus à davantage de pays.

Ces nouveaux participants couvrent des secteurs jusqu’à présent peu représentés dans la première salve initiale : énergie, santé, télécommunications, constructeurs informatiques. Beaucoup d’entre eux gèrent et maintiennent des bases de données dont dépendent d’autres organisations à travers le monde, « y compris des gouvernements ».

Les entreprises et organisations restées à la porte du projet pourront de toutes façons utiliser les modèles « de classe Mythos » concurrents qui ne manqueront pas d’arriver sur le marché d’ici 6 à 12 mois, affirme Anthropic. Mais le labo prévient : ces modèles rivaux n’auront peut-être pas de garde-fous empêchant les usages malveillants.

Anthropic fait donc valoir son positionnement « responsable » en la matière, et rappelle aux plus impatients l’existence de Claude Security. Ce service utilise Claude Opus 4.8 pour scanner des bases de code et proposer des correctifs.