Vous faites peut-être partie des utilisateurs d'Instagram qui ont reçu des emails de réinitialisation de mot de passe qu'ils n'avaient jamais demandés. Meta assure qu'il n'y a pas eu de piratage, mais une société de cybersécurité évoque quand même 17,5 millions de comptes compromis.
Adam Mosseri, le grand patron d'Instagram
Une vague d'emails suspects
Depuis quelques jours, des utilisateurs Instagram du monde entier signalent avoir reçu des emails de réinitialisation de mot de passe qu'ils n'avaient pas demandés. Les messages proviennent bien de l'adresse officielle security@mail.instagram.com, ce qui a semé la confusion. Beaucoup ont d'abord pensé à une tentative de phishing classique, mais non : ces emails étaient authentiques.
Le phénomène a pris de l'ampleur très rapidement, avec des signalements en provenance de plusieurs pays et fuseaux horaires différents. Les utilisateurs concernés ont tous reçu ces messages autour de 4h-5h du matin, heure de la côte Est américaine.
Instagram réagit et nie tout piratage
Instagram a fini par réagir sur X avec un message clair : Nous avons corrigé un problème qui permettait à un tiers de demander des emails de réinitialisation de mot de passe pour certaines personnes. Il n'y a eu aucune violation de nos systèmes et vos comptes Instagram sont sécurisés. Vous pouvez ignorer ces emails, désolé pour la confusion.
Meta a fourni des précisions techniques sur l'incident. Selon la maison mère, la faille permettait uniquement de déclencher l'envoi d'emails de réinitialisation, sans jamais donner accès aux comptes eux-mêmes. En clair : impossible pour les attaquants de modifier les mots de passe ou de se connecter aux comptes visés. La plateforme qualifie l'incident d'exploitation abusive d'une fonctionnalité plutôt que d'une véritable violation de données.
Malwarebytes contredit la version officielle
Sauf que voilà, tout le monde n'est pas convaincu. La société Malwarebytes, spécialisée en cybersécurité, a publié un rapport affirmant que les données de 17,5 millions de comptes Instagram circuleraient sur le dark web. Le fichier, repéré sur BreachForums le 7 janvier, serait proposé par un vendeur sous le pseudo Solonik.
Ce dataset contiendrait des noms d'utilisateurs, adresses email, numéros de téléphone et même des localisations partielles. Selon Malwarebytes, ces données proviendraient d'une faille API datant de 2024. Certains experts suggèrent qu'il pourrait aussi s'agir d'une compilation de données plus anciennes, remontant à des incidents de 2022 voire 2017. Point rassurant : aucun mot de passe ne figurerait dans cette fuite.
On en dit quoi ?
C'est quand même un peu gênant pour Instagram. D'un côté, Meta minimise l'incident et parle d'une simple faille corrigée qui n'a jamais permis d'accéder aux comptes. De l'autre, une société de cybersécurité évoque des millions de comptes dont les données personnelles seraient en vente. Les deux versions ne collent pas vraiment. Et puis franchement, recevoir des emails de réinitialisation qu'on n'a jamais demandés, ça n'inspire pas confiance. Si vous faites partie des utilisateurs touchés, le mieux reste d'activer l'authentification à deux facteurs et de vérifier quels appareils sont connectés à votre compte. On n'est jamais trop prudent.
Assurer sa cybersécurité numérique
Si vous suivez ne serait-ce que d'un oeil lointain l'actualité récente, vous devriez avoir remarqué qu'elle est parsemée de divers piratages massifs de grandes entreprises comme Free, SFR, Mondial Relay, le Ministère de l'Intérieur, France Travail, etc. de nombreuses entreprises qui ne nous sont absolument pas inconnues et qui détiennent même une part de nos données, parfois des données d'identité voire bancaires, qui ont une valeur inestimable.
Les antivirus modernes qui protègent maintenant aussi contre les arnaques, le phishing et permettent de retrouvent nos données sur le dark web, participent à réduire la menace que représentent ces attaques pour nous. Nous en utilisons tous les jours à la rédaction et nous en avons d'ailleurs profité pour les tester pour vous.
