#Instagram : 20.000 comptes piratés à cause d'une erreur toute bête
Quand on imagine le piratage de milliers de comptes, on pense souvent à des hackers surdoués, à des logiciels ultra sophistiqués ou à des techniques dignes d'un film.
La réalité est souvent beaucoup moins impressionnante.
Et parfois, beaucoup plus frustrante.
Selon plusieurs médias spécialisés, plus de 20.000 comptes Instagram auraient été compromis après l'exploitation d'une faille dans un système de récupération de compte utilisé par Meta.
Le problème ?
Une vérification qui ne vérifiait plus vraiment grand-chose.
#Tout part d'un simple "Mot de passe oublié"
Quand vous perdez l'accès à votre compte, Instagram vous permet de récupérer celui-ci grâce à différentes procédures.
C'est normal.
Personne n'est à l'abri :
- d'un mot de passe oublié,
- d'un changement d'adresse e-mail,
- d'un téléphone perdu,
- ou d'une mauvaise manipulation.
Mais dans cette affaire, c'est justement ce système de récupération qui est devenu le point faible.
#Une erreur simple... avec de grosses conséquences
D'après les informations publiées, un outil de support assisté par intelligence artificielle pouvait parfois envoyer un lien de réinitialisation de mot de passe à une adresse e-mail fournie par l'attaquant.
Autrement dit :
un pirate pouvait demander la récupération d'un compte qui ne lui appartenait pas.
Et dans certains cas, c'est lui qui recevait le lien permettant de changer le mot de passe.
Une fois cette étape franchie, prendre le contrôle du compte devenait beaucoup plus simple.
Pas besoin de casser un mot de passe.
Pas besoin de malware.
Pas besoin de techniques extraordinaires.
Juste profiter d'une procédure mal sécurisée.
#Le plus surprenant ? Ce n'est pas du tout un cas isolé
Et c'est probablement la partie la plus intéressante de cette histoire.
Parce que ce genre de problème revient régulièrement depuis des années.
Beaucoup de gens pensent que la sécurité d'un compte repose uniquement sur le mot de passe.
En réalité, le bouton :
"Mot de passe oublié ?"
est souvent aussi puissant que le mot de passe lui-même.
Si cette procédure comporte une faille, alors toutes les autres protections peuvent devenir inutiles.
#GitLab a connu presque exactement le même problème
En 2024, GitLab a corrigé une vulnérabilité critique qui permettait elle aussi de détourner la récupération de compte.
Le mécanisme était différent dans les détails, mais l'idée restait la même :
un attaquant pouvait recevoir des informations destinées au propriétaire légitime du compte.
Résultat :
prise de contrôle complète sans jamais connaître le mot de passe.
Comme quoi même les entreprises spécialisées dans le développement logiciel peuvent tomber dans ce piège.
#Même les questions secrètes ont déjà causé des catastrophes
Les plus anciens se souviennent peut-être du piratage du compte Yahoo de Sarah Palin en 2008.
À l'époque, il n'y avait ni IA ni système sophistiqué.
L'attaquant a simplement répondu aux questions de récupération :
- date de naissance,
- ville d'origine,
- informations trouvées sur internet.
Le mot de passe n'a jamais été cassé.
La récupération de compte a fait tout le travail.
#Pourquoi ces erreurs continuent d'exister ?
Parce que beaucoup d'entreprises concentrent leurs efforts sur :
- les mots de passe,
- l'authentification,
- le chiffrement,
- la détection des attaques.
Mais oublient parfois un détail essentiel :
récupérer un compte donne souvent exactement les mêmes pouvoirs que posséder le compte.
Et c'est là que les problèmes commencent.
Une simple vérification oubliée.
Un contrôle mal implémenté.
Une adresse e-mail mal validée.
Et tout le système de sécurité peut s'effondrer.
#La double authentification reste votre meilleure amie
Dans cette affaire, les utilisateurs qui avaient activé la double authentification étaient beaucoup mieux protégés.
Même après un changement de mot de passe, l'attaquant devait encore franchir une étape supplémentaire :
- code temporaire,
- application d'authentification,
- clé de sécurité.
C'est parfois la seule chose qui sépare un compte compromis d'un compte sauvé.
Si vous ne l'avez toujours pas activée sur vos réseaux sociaux, c'est probablement le meilleur moment pour le faire.
#Ce que révèle vraiment cette affaire
Au fond, cette histoire ne parle pas seulement d'Instagram.
Elle rappelle quelque chose que les professionnels de la cybersécurité répètent depuis longtemps :
Les plus grosses failles ne sont pas toujours les plus complexes.
On imagine souvent des attaques ultra techniques.
Pourtant, certaines compromissions massives commencent simplement par un formulaire mal conçu ou une vérification oubliée.
Dans le cas d'Instagram, ce ne sont pas les mots de passe qui ont posé problème.
C'est la façon de les réinitialiser.
Et parfois, c'est largement suffisant pour compromettre plus de 20.000 comptes.
#À retenir
- Plus de 20.000 comptes Instagram ont été compromis.
- La faille concernait un système de récupération de compte.
- Les attaquants pouvaient parfois recevoir eux-mêmes le lien de réinitialisation.
- Ce type de problème existe depuis des années et a déjà touché d'autres plateformes.
- GitLab a connu une faille similaire en 2024.
- Les procédures de récupération sont souvent aussi critiques que les mots de passe eux-mêmes.
- La double authentification reste l'une des protections les plus efficaces.
#Sources
- The Verge
- BleepingComputer
- Ars Technica
- Meta
- GitLab Security Advisory
Commentaires
Aucun commentaire pour le moment.