Une faille de sécurité dans l'outil High Touch Support (HTS) de Meta a permis à des pirates de prendre le contrôle de plus de 20 000 comptes Instagram.
Le post Plus de 20 000 comptes Instagram piratés à cause d’une faille dans un outil de support ! a été publié sur IT-Connect.
Tout se joue dans une conversation polie avec l'assistant IA du support de Meta, le robot conversationnel censé dépanner les utilisateurs quand ils ont un souci avec leur compte.
Le principe tient en quelques étapes. Le pirate se connecte d'abord via un VPN, un outil qui maquille sa localisation, pour faire croire qu'il se trouve dans la ville de sa victime et ne pas déclencher les protections automatiques d'Instagram.
Ensuite, il ouvre une discussion avec le Meta AI Support Assistant et lui demande tout bonnement d'ajouter une nouvelle adresse e-mail au compte ciblé.
Le robot envoie alors un code de vérification vers l'adresse fournie par le pirate. Celui-ci renvoie le code au chatbot, qui affiche aussitôt un bouton pour réinitialiser le mot de passe. Nouveau mot de passe, et le compte change de mains.
Le plus dingue, c'est qu'à aucun moment l'attaquant n'a eu besoin de toucher à la vraie boîte mail de la victime. Pas de phishing élaboré, pas de faux site à monter, pas de malware à glisser. Le support officiel faisait tout le travail à sa place.
Côté victimes, ça pique. Le compte de la Maison-Blanche de l'ère Obama, inactif depuis 2017, celui du sergent-chef de l'US Space Force John Bentivegna, ou encore celui de la chercheuse en sécurité Jane Wong, qui a raconté s'être fait voler le sien. S'ajoutent plusieurs comptes aux pseudos très courts, ceux qui se revendent cher au marché noir, dont la valeur cumulée dépasserait le demi-million de dollars.
L'attaque a été mise en scène dans une vidéo de démonstration, publiée fin mai sur Telegram par un groupe de pirates pro-iraniens, avec un mode d'emploi qui a tranquillement circulé sur plusieurs canaux.
Heureusement, il y a un garde-fou. L'exploit ne marche pas contre les comptes protégés par une authentification à deux facteurs, ce deuxième code demandé en plus du mot de passe, souvent reçu par SMS. Même la version la plus basique de cette protection suffisait à bloquer les pirates net.
Chez Meta, le porte-parole Andy Stone affirme que le problème est réglé et que les comptes touchés sont en train d'être sécurisés. Un correctif d'urgence a été déployé , et l'entreprise précise qu'aucune base de données interne n'a été piratée. Le trou était dans le chatbot, pas dans les serveurs.
Reste le fond du problème. Pour Ian Goldin, chercheur en cybersécurité chez Black Lotus Labs, ces assistants IA ouvrent une toute nouvelle surface d'attaque, et on va sûrement en voir beaucoup d'autres du même genre dans les mois qui viennent.
Bref, un chatbot conçu pour rendre service qui finit par surtout servir les pirates, c'est le genre de bug qu'on n'avait pas avec un bon vieux formulaire.
Source : ARS Technica
D'après le site américain Media 404, des hackers seraient parvenus à détourner le chatbot d’assistance de Meta pour prendre le contrôle de comptes Instagram. Une faille simple, basée sur la fragilité des gardes-fous de l'IA.
D'après le site américain Media 404, des hackers seraient parvenus à détourner le chatbot d’assistance de Meta pour prendre le contrôle de comptes Instagram. Une faille simple, basée sur la fragilité des gardes-fous de l'IA.
Le support de Meta, quand vous contactez Instagram pour un souci de compte, c'est 100% IA maintenant. Je l'ai fait y'a pas longtemps et c'est assez surprenant, même s'il faut le reconnaître, ça fonctionne bien. Et si je vous parle de ça ce matin, c'est que pendant des semaines, ce chatbot a refilé l'accès à des comptes à qui savait lui raconter la bonne histoire.
Et c'est pas un exploit de génie ni une faille bien planquée mais juste un bot de support trop serviable à qui on explique qu'on s'est fait pirater, et qui envoie le code de réinitialisation... sur l'adresse mail de l'attaquant. Oui, il est aussi précautionneux de vos accès que votre gardien d'immeuble ^^.
En gros l'attaquant écrit au support IA, prétend être le proprio d'un compte "piraté", demande à recevoir les codes sur son email et l'IA accepte l'adresse sans sourciller. Hop, un petit lien de reset, un nouveau mot de passe, et le vrai propriétaire ne voit rien venir !
Bon, ce n'était pas magique non plus, mais une fois le bot embobiné, il lâchait l'accès.
Le truc à retenir surtout, c'est que la double authentification , elle, a bien fait barrage. Les comptes qui l'avaient activée n'ont pas été pris, donc si vous traînez sur Insta sans, allez l'activer tout de suite !
Parce que les dégâts ont été bien réels. Des comptes à grosse visibilité y sont passés, dont le compte dormant @obamawhitehouse et ses millions d'abonnés, qui s'est remis à publier n'importe quoi avant d'être nettoyé.
Des groupes Telegram s'étaient montés autour de ces prises de contrôle, des chercheurs comme ZachXBT ont suivi le mouvement, et les pseudos courts comme @hey valant une petite fortune se sont retrouvés sur le marché noir. En gros, un vrai business du vol de compte a été monté sur le dos du chatbot !
Y'a 10 ans, c'était déjà la récupération de compte qui faisait tomber des comptes Facebook encore aujourd'hui le maillon faible n'a pas changé...
Meta a corrigé le problème en urgence et dit avoir sécurisé les comptes touchés.
Si vous pensez être victime, direction "Mot de passe oublié" puis "Mon compte a été piraté", et une fois récupéré, vérifiez bien que l'email et le numéro liés au compte sont les vôtres (l'attaquant a pu les remplacer) avant de dégager les sessions inconnues. Pour le reste, un petit tour par les bons réflexes de sécurité ne fait jamais de mal.
Bref, activez la double authentification et j'espère qu'un jour, les grosses boites arrêteront d'utiliser l'IA pour garder leurs clés.
Face à la pénurie mondiale de composants provoquée par l'essor de l'intelligence artificielle, le constructeur américain Corsair a commencé à intégrer des puces mémoire d'origine chinoise dans ses barrettes DDR5. Une évolution discrète qui marque une percée historique de la Chine sur un marché jusqu'ici dominé par les géants sud-coréens et américains.
L’article Corsair utilise désormais de la RAM chinoise, et ce n’est probablement que le début est apparu en premier sur Tom’s Hardware.
Adata, Apacer et TeamGroup ont levé collectivement plus de 880 millions de dollars via des obligations et des prêts bancaires.
L’article RAM et intelligence artificielle : une course en avant qui coûte très cher est apparu en premier sur Tom’s Hardware.
Origin Code lève le voile sur un nouveau kit mémoire DDR5 de 48 Go cadencé à 6 200 MT/s, accompagné d'un waterblock doté d'un écran LCD intégré. La société prévoit de présenter l'ensemble au Computex 2026, sans encore communiquer sur les tarifs ni la disponibilité.
L’article Un waterblock avec écran LCD sur de la RAM DDR5 : c’est la prochaine tendance pour les PC haut de gamme ? est apparu en premier sur Tom’s Hardware.
Le PDG de Silicon Motion tire la sonnette d'alarme : la pénurie mondiale de mémoire DRAM et de stockage NAND, alimentée par la course à l'intelligence artificielle, pourrait durer jusqu'en 2028. Les prix devraient continuer à grimper, et les consommateurs comme les entreprises devront s'armer de patience.
L’article Pénurie de mémoire : Samsung, SK Hynix et les autres ne pourront pas inverser la tendance avant 2028 est apparu en premier sur Tom’s Hardware.
La hausse des prix des composants s'accompagne d'une prolifération de faux modules mémoire en Asie, parfois équipés de puces en plastique.
L’article De fausses barrettes de RAM DDR5 envahissent internet, comment s’y retrouver ? est apparu en premier sur Tom’s Hardware.
Les trois principaux fabricants de mémoire ont lancé les premières phases de développement du standard DDR6, alors que le marché de la DRAM traverse une période de tension persistante sur les prix.
L’article DDR6 : bonne nouvelle pour les performances, mauvaise nouvelle pour les prix est apparu en premier sur Tom’s Hardware.
D'après des fuites non confirmées, Google pourrait lancer le Pixel 11 avec une quantité de RAM inférieure à celle de la génération actuelle, conséquence directe d'une pénurie qui touche l'ensemble du marché électronique et qui fait déjà bouger les prix chez plusieurs fabricants.
L’article Moins de RAM et peut-être plus cher : le Pixel 11 ferait face à un contexte difficile est apparu en premier sur Tom’s Hardware.
Cette progression fait suite à une augmentation déjà significative au premier trimestre, où les prix de la LPDDR5X avaient progressé de 58 % à 63 % en glissement trimestriel.
L’article Le prix de la RAM devrait doubler pour atteindre des sommets courant juin est apparu en premier sur Tom’s Hardware.
Le fabricant sud-coréen de semi-conducteurs envisage de distribuer en moyenne 477 000 dollars par salarié, une décision qui suscite des réactions mitigées dans le pays.
L’article Ces ingénieurs vont toucher plus de 400 000 dollars de prime, quand on paie la RAM 4 fois plus cher est apparu en premier sur Tom’s Hardware.
Les deux géants sud-coréens de la mémoire ont décidé de ne plus proposer que des contrats pluriannuels à leurs clients. Une décision qui soulève des questions sur la trajectoire future des prix.
L’article Prix de la RAM : sommes-nous arrivés au sommet avant le krach ? est apparu en premier sur Tom’s Hardware.
Après des mois de hausse continue, les prix de la mémoire DDR5 connaissent une baisse significative chez plusieurs revendeurs américains, une tendance qui pourrait être liée au dévoilement de l'algorithme TurboQuant de Google.
L’article RAM : la DDR5 baisse enfin de prix après des mois de hausse est apparu en premier sur Tom’s Hardware.
Ou comment Orange et l'Agence nationale des fréquences (ANFR) ont traqué à partir de la fin de l'été 2022 ces machines sensibles utilisées par des escrocs pour envoyer des SMS de hameçonnage.
Connexion