L’intelligence artificielle n’est pas toujours la solution miracle promise par les géants de la tech. Meta en fait actuellement l’expérience après la découverte d’une faille particulièrement inquiétante dans son assistant de support automatisé. Pendant plusieurs mois, des pirates auraient pu prendre le contrôle de comptes Instagram simplement en demandant à l’IA de modifier leur adresse e-mail.
Une IA trop serviable
Le problème a été corrigé ce week-end, mais plusieurs comptes très en vue ont déjà été compromis. Meta avait lancé son assistant de support basé sur l’IA en décembre dernier avec un objectif simple : offrir une assistance disponible 24h/24 pour résoudre les problèmes de compte, signaler des arnaques ou encore réinitialiser un mot de passe.
C’est précisément cette dernière fonctionnalité qui a été exploitée. Selon plusieurs témoignages relayés sur les réseaux sociaux et par le média spécialisé 404 Media, des pirates étaient capables de demander directement à l’assistant de modifier l’adresse e-mail associée à un compte Instagram cible. Une fois cette étape réalisée, il devenait possible de réinitialiser le mot de passe et de prendre le contrôle du compte.
Une vérification d’identité insuffisante
Le plus préoccupant dans cette affaire reste la faiblesse apparente des contrôles de sécurité. L’assistant de Meta ne procédait pas systématiquement à une vérification robuste de l’identité du demandeur. Dans certains cas, il aurait même permis de contourner l’authentification à deux facteurs.
D’après les chercheurs ayant analysé le problème, il suffisait parfois d’utiliser un VPN configuré dans une région proche de celle du propriétaire légitime du compte. Meta expliquait pourtant dans sa communication officielle que ses systèmes étaient capables de reconnaître les appareils habituels et les localisations fréquemment utilisées par les utilisateurs. Certaines vérifications basées sur un selfie vidéo pouvaient également être trompées grâce à des outils d’intelligence artificielle.
Vos papiers s'il vous plaît!
Des comptes renommés touchés
L’exploitation de la faille a rapidement attiré l’attention des cybercriminels. Des chaînes Telegram spécialisées dans le marché noir de comptes Instagram auraient largement profité de cette vulnérabilité pendant plusieurs semaines.
Parmi les victimes figureraient notamment les comptes de Sephora, du Chief Master Sergeant de la Space Force américaine, de la chercheuse Jane Manchun Wong, du développeur Albert Renshaw — propriétaire du très convoité identifiant @albert — ainsi que l’ancien compte officiel de la Maison-Blanche sous Barack Obama. De nombreux autres utilisateurs possédant des noms de compte particulièrement recherchés ont également signalé des prises de contrôle non autorisées.
Face à l’ampleur du problème, Meta est intervenu durant le week-end pour fermer la faille. Andy Stone, vice-président de la communication du groupe, a confirmé que le vecteur d’attaque avait été corrigé et que l’entreprise travaillait désormais à sécuriser les comptes affectés. Le problème met toutefois en lumière un défi de plus en plus fréquent dans l’industrie : remplacer trop rapidement les équipes humaines par des systèmes automatisés.
Qu'en penser ?
Cette affaire illustre parfaitement les risques liés à l’intégration accélérée de l’intelligence artificielle dans les services de support client. Conçue pour simplifier les démarches et réduire les coûts opérationnels, l’IA de Meta s’est retrouvée à exécuter des actions particulièrement sensibles sans disposer de garanties suffisantes sur l’identité des demandeurs.
Le plus ironique dans cette histoire est que certains utilisateurs victimes du piratage n’ont même pas réussi à récupérer leur compte via le même assistant automatisé. Faute d’accès à un interlocuteur humain, plusieurs se sont retrouvés bloqués face à une IA incapable de réparer les dégâts causés par une autre IA.
À mesure que les géants de la Silicon Valley automatisent davantage leurs services, cette mésaventure pourrait bien devenir un cas d’école sur les limites de la confiance accordée aux assistants intelligents.
