Meta voulait confier le service après-vente d’Instagram à une IA plus rapide, plus fluide, plus disponible. Des hackers y ont vu une serrure bavarde. En quelques demandes bien formulées, ils auraient pu prendre le contrôle de comptes prestigieux, dont celui de l’ancienne Maison-Blanche de Barack Obama.
Selon The Guardian, des pirates ont utilisé l’assistant d’assistance dopé à l’IA de Meta pour infiltrer plusieurs comptes Instagram de premier plan. Parmi les cibles figuraient le compte de la Maison-Blanche sous Barack Obama, la marque Sephora et celui de John Bentivegna, haut responsable de l’US Space Force. Meta a confirmé avoir corrigé le problème, sans préciser combien de comptes avaient été touchés.
D’après TechCrunch, l’attaquant n’avait même pas besoin de voler l’adresse mail de la victime. Il utilisait un VPN pour paraître situé dans la même zone géographique que le propriétaire du compte, ouvrait une discussion avec Meta AI Support Assistant, puis demandait au chatbot d’ajouter une nouvelle adresse mail au compte visé. L’IA envoyait alors un code de vérification à cette adresse contrôlée par le pirate. Une fois le code recopié dans la conversation, le bouton de réinitialisation du mot de passe apparaissait. Un cambriolage sans pied-de-biche, donc. Les pirates auraient notamment diffusé des captures montrant des messages pro-iraniens publiés sur des comptes compromis. Certains identifiants Instagram très courts, donc très recherchés, auraient aussi été visés pour leur valeur de revente.
L’affaire touche exactement le point sensible du grand virage technologique de Meta. L’assistant IA avait été lancé mondialement plus tôt cette année pour aider les utilisateurs à récupérer leur compte, signaler des arnaques ou gérer des problèmes de sécurité. Autrement dit, l’outil censé protéger l’entrée a plutôt servi de conciergerie aux intrus. The Verge rappelle que Meta présentait cet assistant comme capable d’aider à réinitialiser un mot de passe ou configurer l’authentification à deux facteurs. Il a surtout montré qu’une IA branchée à des fonctions sensibles peut devenir dangereuse si elle agit sans garde-fous solides. Les géants du numérique répètent que l’IA va simplifier nos vies, mais il ne faut jamais confier le trousseau à quelqu’un qui obéit trop bien…
