L’assistant d’assistance Meta AI aurait aidé des hackers à accéder à des comptes Instagram très suivis, selon plusieurs signalements publiés sur les réseaux sociaux. Sans véritable vérification d’identité, Meta AI pouvait modifier l’adresse email associée à un compte Instagram, permettant ensuite de réinitialiser le mot de passe.
Meta avait lancé son assistant d’assistance IA en décembre, avec l’objectif de faciliter l’accès à une aide disponible 24 h/24 et 7 j/7. Il peut être utilisé pour signaler des arnaques, obtenir des informations sur la suppression de contenus ou réinitialiser des mots de passe. C’est cette dernière possibilité que des acteurs malveillants seraient parvenus à exploiter.
Une faille exploitée via l’assistant IA
La vulnérabilité d’Instagram est apparue sur les réseaux sociaux au cours du week-end, avec des démonstrations montrant les étapes très simples permettant de prendre le contrôle d’un compte.
Dans l’une d’elles, un hacker demande au bot d’assistance de Meta de changer l’adresse email liée à un compte Instagram ciblé, et l’IA s’exécute sans poser de question.
L’assistance de Meta ne procédait pas à une vérification d’identité suffisamment solide. Dans certains cas, elle semble même avoir contourné l’authentification à deux facteurs.
Une vérification basée sur la localisation
La seule condition requise aurait été d’utiliser une connexion VPN réglée sur une localisation proche de celle du compte visé, ce qui est très simple à faire.
Meta semblait vérifier la propriété du compte principalement à partir de la localisation. Dans son billet de blog consacré à son agent d’assistance IA, l’entreprise écrivait : « Nos systèmes reconnaissent mieux que jamais l’appareil que vous utilisez habituellement et les lieux familiers. »
Dans certains cas, les utilisateurs devaient vérifier leur identité avec un selfie. Mais cette étape aurait pu être contournée grâce à l’IA.
Des prises de contrôle en hausse
Pendant une courte période, l’exploit a été accessible publiquement, et les prises de contrôle de comptes ont augmenté.
Un chercheur en sécurité a affirmé que des canaux Telegram proposant des services Instagram au marché noir avaient gagné « beaucoup d’argent » grâce à l’IA de Meta. Selon 404 Media, les hackers connaissaient cette faille depuis mars.
Meta a corrigé le problème pendant le week-end. Aujourd’hui, Andy Stone, vice-président de la communication de Meta, a déclaré que le problème était résolu. L’entreprise indique désormais sécuriser les comptes touchés.
Plusieurs comptes très visibles ont été ciblés
Les informations sur cette méthode d’attaque arrivent après la prise de contrôle de plusieurs comptes importants ou recherchés.
Des hackers auraient notamment réussi à détourner les comptes de Sephora, du Chief Master Sergeant of the Space Force, de la chercheuse Jane Manchun Wong, du développeur Albert Renshaw, qui possédait le compte @albert, ainsi que le compte archivé de la Maison-Blanche de Barack Obama.
Plusieurs autres utilisateurs disposant de pseudos Instagram recherchés ont également signalé le vol de leur compte.
Certains utilisateurs dont les comptes ont été volés pendant le week-end n’ont pas réussi à utiliser l’IA pour les récupérer. Ils ne disposaient pas non plus d’une option permettant de parler à un humain pour obtenir de l’aide.
Laisser un commentaire