L’IA de support de Meta a livré des comptes Instagram à qui les demandait

Meta avait conçu un assistant d’assistance doté d’intelligence artificielle pour absorber la tâche fastidieuse de la récupération de comptes, et le temps d’un week-end les utilisateurs ont découvert qu’ils pouvaient le convaincre de céder des comptes qui n’étaient pas les leurs. En demandant au chatbot d’ajouter une nouvelle adresse e-mail à un compte Instagram visé, puis en sollicitant une réinitialisation du mot de passe, les attaquants se sont emparés de profils qui ne leur appartenaient pas, y compris ceux protégés par la double authentification. L’outil censé rendre l’accès à un compte verrouillé est devenu le moyen le plus rapide d’en exclure le propriétaire légitime.

La méthode était d’une simplicité presque insultante. L’attaquant utilisait d’abord un VPN pour faire croire que sa connexion venait de la région de la victime, car le parcours d’assistance de Meta s’appuyait sur la localisation comme signal de confiance. Il ouvrait ensuite une conversation avec l’assistant et lui demandait de rattacher au compte visé une adresse e-mail qu’il contrôlait. Le bot envoyait un code de vérification à cette nouvelle adresse, l’attaquant recopiait le code dans la conversation, et l’assistant répondait en affichant un bouton de réinitialisation du mot de passe. Un nouveau mot de passe plus tard, le compte changeait de mains.

Ce qui distingue ce cas d’un piratage ordinaire, c’est que rien, en réalité, n’a été forcé. Pas de logiciel malveillant, pas de base de données d’identifiants fuitée, pas de fausse page maquillée en écran de connexion. C’est l’outil d’assistance de la plateforme elle-même qui a fait le travail, en suivant ses instructions à la lettre. L’attaquant n’a pas vaincu la sécurité d’Instagram, il lui a poliment demandé de s’écarter, et elle s’est écartée.

C’est cet enchaînement qui rend l’incident important pour quiconque possède un identifiant Instagram. La double authentification, cette protection que les experts recommandent d’activer depuis dix ans, n’a servi à rien ici. L’attaquant n’a jamais eu besoin du mot de passe de la victime, de son téléphone ou d’un code d’application d’authentification, parce que l’agent d’IA pouvait réinitialiser le mot de passe de lui-même. Quand un système d’assistance peut neutraliser tous les autres verrous de la porte, les verrous ne comptent plus guère.

Les comptes qui ont le plus retenu l’attention étaient en vue. Parmi eux, le compte Instagram rattaché à la Maison-Blanche de l’ère Obama, inactif depuis 2017, et celui de John Bentivegna, sergent-major en chef de l’US Space Force. La chercheuse en sécurité Jane Wong, connue pour décortiquer le code des applications, a vu son propre compte lui échapper. Le mot de passe a été changé à son insu, a-t-elle raconté, et des tentatives de réinitialisation lui sont parvenues toute une journée tandis que l’application la déconnectait sans cesse. Des utilisateurs ordinaires ont décrit la même chose, même si Meta n’a pas dit combien étaient touchés.

L’épisode tient moins d’un défaut dans une ligne de code que d’une question sur ce que ces agents ont le droit de faire. Meta a élargi en début d’année son assistance pilotée par l’IA et a laissé l’assistant gérer les changements de mot de passe et les problèmes de compte qui exigeaient autrefois une personne ou un formulaire rigide. Confier à un modèle conversationnel l’autorité sur la récupération des comptes a supprimé la friction pour les vrais utilisateurs et, on l’a vu, pour tous les autres aussi. Un agent humain aurait peut-être hésité devant un inconnu demandant de changer l’e-mail d’un compte. Le bot s’est contenté de suivre le script qu’on lui avait donné.

Meta affirme que la brèche est colmatée, mais plusieurs points devraient tempérer le soulagement. L’entreprise n’a pas révélé combien de comptes ont été pris avant le correctif, ce qui laisse les victimes sans idée claire des dégâts. Selon 404 Media, la technique circulait sur Telegram depuis mars, ce qui signifie que la porte est peut-être restée ouverte des semaines avant d’éclater au grand jour. Et le dispositif sous-jacent, faire confiance à un signal de localisation qu’un VPN peut falsifier et à une boucle d’e-mail entièrement contrôlée par l’attaquant, trahit un modèle de vérification fragile dès le départ.

Les chercheurs en sécurité préviennent depuis un moment que les agents d’IA branchés sur des systèmes réels ouvrent une nouvelle surface d’attaque, où l’exploit n’est pas du code malformé mais une requête convaincante. C’est l’un des premiers cas à grande échelle à le démontrer avec des comptes grand public et non avec une démonstration de laboratoire. La manipulation n’a réclamé aucune compétence technique. Elle a réclamé de savoir quoi dire, face à un système conçu pour être serviable avant d’être méfiant.

Pour l’instant, le conseil pratique est sans éclat. Quiconque a remarqué des e-mails inattendus de réinitialisation de mot de passe ou des déconnexions soudaines pendant le week-end devrait vérifier quelles adresses e-mail et quels numéros de téléphone sont rattachés à son compte et retirer tout ce qu’il ne reconnaît pas. La double authentification reste utile pour les nombreuses attaques qu’elle bloque vraiment, même si elle n’a rien pesé dans celle-ci.

Le porte-parole d’Instagram, Andy Stone, a confirmé lundi que le problème était corrigé et que l’entreprise sécurisait les comptes touchés. Ce que Meta n’a pas abordé, c’est la question de conception plus large que son propre déploiement a soulevée ce printemps : quelle autorité un agent automatisé devrait détenir sur les comptes de milliards de personnes, et ce qui empêchera la prochaine conversation de finir de la même façon.

Étiquettes: cybersécurité, meta