Tout se joue dans une conversation polie avec l'assistant IA du support de Meta, le robot conversationnel censé dépanner les utilisateurs quand ils ont un souci avec leur compte.

Le principe tient en quelques étapes. Le pirate se connecte d'abord via un VPN, un outil qui maquille sa localisation, pour faire croire qu'il se trouve dans la ville de sa victime et ne pas déclencher les protections automatiques d'Instagram.

Ensuite, il ouvre une discussion avec le Meta AI Support Assistant et lui demande tout bonnement d'ajouter une nouvelle adresse e-mail au compte ciblé.

Le robot envoie alors un code de vérification vers l'adresse fournie par le pirate. Celui-ci renvoie le code au chatbot, qui affiche aussitôt un bouton pour réinitialiser le mot de passe. Nouveau mot de passe, et le compte change de mains.

Le plus dingue, c'est qu'à aucun moment l'attaquant n'a eu besoin de toucher à la vraie boîte mail de la victime. Pas de phishing élaboré, pas de faux site à monter, pas de malware à glisser. Le support officiel faisait tout le travail à sa place.

Côté victimes, ça pique. Le compte de la Maison-Blanche de l'ère Obama, inactif depuis 2017, celui du sergent-chef de l'US Space Force John Bentivegna, ou encore celui de la chercheuse en sécurité Jane Wong, qui a raconté s'être fait voler le sien. S'ajoutent plusieurs comptes aux pseudos très courts, ceux qui se revendent cher au marché noir, dont la valeur cumulée dépasserait le demi-million de dollars.

L'attaque a été mise en scène dans une vidéo de démonstration, publiée fin mai sur Telegram par un groupe de pirates pro-iraniens, avec un mode d'emploi qui a tranquillement circulé sur plusieurs canaux.

Heureusement, il y a un garde-fou. L'exploit ne marche pas contre les comptes protégés par une authentification à deux facteurs, ce deuxième code demandé en plus du mot de passe, souvent reçu par SMS. Même la version la plus basique de cette protection suffisait à bloquer les pirates net.

Chez Meta, le porte-parole Andy Stone affirme que le problème est réglé et que les comptes touchés sont en train d'être sécurisés. Un correctif d'urgence a été déployé , et l'entreprise précise qu'aucune base de données interne n'a été piratée. Le trou était dans le chatbot, pas dans les serveurs.

Reste le fond du problème. Pour Ian Goldin, chercheur en cybersécurité chez Black Lotus Labs, ces assistants IA ouvrent une toute nouvelle surface d'attaque, et on va sûrement en voir beaucoup d'autres du même genre dans les mois qui viennent.

Bref, un chatbot conçu pour rendre service qui finit par surtout servir les pirates, c'est le genre de bug qu'on n'avait pas avec un bon vieux formulaire.

Source : ARS Technica

Le support de Meta, quand vous contactez Instagram pour un souci de compte, c'est 100% IA maintenant. Je l'ai fait y'a pas longtemps et c'est assez surprenant, même s'il faut le reconnaître, ça fonctionne bien. Et si je vous parle de ça ce matin, c'est que pendant des semaines, ce chatbot a refilé l'accès à des comptes à qui savait lui raconter la bonne histoire.

Et c'est pas un exploit de génie ni une faille bien planquée mais juste un bot de support trop serviable à qui on explique qu'on s'est fait pirater, et qui envoie le code de réinitialisation... sur l'adresse mail de l'attaquant. Oui, il est aussi précautionneux de vos accès que votre gardien d'immeuble ^^.

En gros l'attaquant écrit au support IA, prétend être le proprio d'un compte "piraté", demande à recevoir les codes sur son email et l'IA accepte l'adresse sans sourciller. Hop, un petit lien de reset, un nouveau mot de passe, et le vrai propriétaire ne voit rien venir !

Bon, ce n'était pas magique non plus, mais une fois le bot embobiné, il lâchait l'accès.

Le truc à retenir surtout, c'est que la double authentification , elle, a bien fait barrage. Les comptes qui l'avaient activée n'ont pas été pris, donc si vous traînez sur Insta sans, allez l'activer tout de suite !

Parce que les dégâts ont été bien réels. Des comptes à grosse visibilité y sont passés, dont le compte dormant @obamawhitehouse et ses millions d'abonnés, qui s'est remis à publier n'importe quoi avant d'être nettoyé.

Des groupes Telegram s'étaient montés autour de ces prises de contrôle, des chercheurs comme ZachXBT ont suivi le mouvement, et les pseudos courts comme @hey valant une petite fortune se sont retrouvés sur le marché noir. En gros, un vrai business du vol de compte a été monté sur le dos du chatbot !

Y'a 10 ans, c'était déjà la récupération de compte qui faisait tomber des comptes Facebook encore aujourd'hui le maillon faible n'a pas changé...

Meta a corrigé le problème en urgence et dit avoir sécurisé les comptes touchés.

Si vous pensez être victime, direction "Mot de passe oublié" puis "Mon compte a été piraté", et une fois récupéré, vérifiez bien que l'email et le numéro liés au compte sont les vôtres (l'attaquant a pu les remplacer) avant de dégager les sessions inconnues. Pour le reste, un petit tour par les bons réflexes de sécurité ne fait jamais de mal.

Bref, activez la double authentification et j'espère qu'un jour, les grosses boites arrêteront d'utiliser l'IA pour garder leurs clés.

Source

Sans communiqué de presse ni annonce officielle, Meta a mis en ligne une application baptisée Forum, destinée à centraliser les échanges au sein des groupes Facebook.

L’article Adieu le fil d’actualité Facebook : voici la nouvelle app cachée qui va révolutionner votre quotidien ! est apparu en premier sur Tom’s Hardware.

Le groupe californien a annoncé à ses salariés américains qu'il allait collecter des données détaillées sur leur utilisation des ordinateurs. La mesure suscite un malaise croissant en interne, d'autant qu'elle intervient en même temps qu'un plan de suppressions de postes.

L’article Meta surveille ses salariés pour entraîner son IA, et les licencie en même temps est apparu en premier sur Tom’s Hardware.

Le 27 avril 2026, la Chine a annoncé s'opposer au rachat de Manus par Meta, empêchant le géant américain de mettre la main sur l'une des startups IA les plus en vue du moment. Une décision qui confirme que Pékin n'a, en réalité, jamais vraiment laissé partir cette pépite.

Un audit californien publié en mars 2026 montre que Google, Microsoft et Meta continuent de déposer des cookies de suivi après un refus explicite des utilisateurs, car payer les amendes leur revient moins cher que de se conformer aux règles.

L’article Ce bouton sur lequel vous cliquez tous les jours ne sert en fait à rien est apparu en premier sur Tom’s Hardware.

D'après un article publié le 18 mars 2026 par le média américain The Information, un agent d'intelligence artificielle déployé par Meta en interne a provoqué une fuite de données. L'incident a été jugé suffisamment grave pour déclencher une alerte de sécurité majeure.

Mi-mars 2026, Meta a discrètement annoncé la fin du chiffrement de bout en bout sur les messages privés d'Instagram. La fonctionnalité disparaîtra le 8 mai prochain. Pourquoi un tel retrait ?

Disponible sur le Google Play Store, l'application « Nearby Glasses », développée par un amateur, attire l’attention. Elle permet à ses utilisateurs d’être avertis si des personnes à proximité portent des lunettes « intelligentes », comme les lunettes Ray-Ban de Meta.

Ce 23 février 2026, Summer Yue est au centre des discussions tech sur X. La responsable de l’alignement IA chez Meta a raconté comment son agent autonome OpenClaw lui a désobéi, supprimant sans autorisation des emails de sa boîte Gmail. Un incident qui soulève de sérieuses questions sur la fiabilité des agents IA.