L’assistant IA de Meta permettait de voler des comptes Instagram
L’assistance IA mise en place par Meta pour la gestion des comptes Instagram a autorisé pendant plusieurs semaines n’importe qui d’assez malin à changer l’adresse e-mail associée à un compte. Les propriétaires légitimes se retrouvaient donc « enfermés dehors », incapables de se connecter à leur compte et de reprendre la main.
Depuis le mois de mars, les utilisateurs de Facebook et d’Instagram qui ont besoin d’aide pour gérer leur compte peuvent faire appel à un assistant IA spécialisé, « fiable, rapide, efficace, disponible en tout temps », promettait Meta. Un soutien « axé sur l’action » pour résoudre les problèmes de compte « de A à Z ». Ce qui signifie réaliser des opérations particulièrement sensibles comme la réinitialisation du mot de passe ou le changement de l’e-mail associé au compte.
Depuis la mise en place de ce nouveau mécanisme IA, plusieurs profils Instagram de premier plan, comme un compte appartenant à Barack Obama, celui de la marque Sephora ou du chef des sous-officiers de la Space Force, ont été piratés ces dernières semaines. Les propriétaires légitimes de ces comptes ne pouvaient plus y accéder et pour cause, l’adresse e-mail associée avait changé sans leur autorisation.
Le « nouveau » propriétaire du compte était alors en mesure de publier n’importe quel contenu, contacter les abonnés, diffuser des arnaques, revendre le compte à des tiers… 404media rapporte que Meta aurait corrigé la vulnérabilité qui ouvrait la porte à ces margoulins. C’est la méthode qui est intéressante ici : il ne s’agit pas d’une faille de sécurité à proprement parler, mais d’ingénierie sociale appliquée aux agents IA.
Sur Telegram, des chercheurs en sécurité et des groupes de hackers ont partagé des vidéos et des captures d’écran explicitant le mode opératoire pour voler un compte Instagram. Le scénario est le suivant : l’attaquant connaît le nom d’utilisateur Instagram de la cible ; armé d’un VPN, qui lui permet d’apparaître dans le même pays ou la même région que la victime, il lance une procédure de récupération de compte.
Après avoir ouvert une conversation avec l’assistant IA de Meta, le pirate convainc le bot de remplacer l’adresse e-mail associée au compte par une adresse qu’il contrôle. L’IA envoie alors un code de validation à cette nouvelle adresse. Une fois l’adresse modifiée, l’attaquant peut demander une réinitialisation du mot de passe et prendre le contrôle du compte.
L’IA de Meta aurait accepté une opération extrêmement sensible sans vérifier correctement que l’utilisateur était bien le propriétaire du compte. Cette technique d’injection de prompts contourne les sécurités habituelles liées à un changement d’adresse e-mail, une opération qui ne peut normalement pas être effectuée sans une authentification forte et un délai ou une validation depuis l’ancienne adresse. L’assistance de Meta bénéficiait donc manifestement de privilèges extrêmement élevés, sans qu’aucun garde-fou ne vienne mettre le holà.
En décembre dernier, OpenAI abordait les injections de prompts sur le fond, et admettait qu’il s’agissait d’un problème à long terme. Meta n’est pas le seul acteur IA à y faire face.
