Meta fait face à un nouveau revers autour de son intelligence artificielle. Selon 404 Media, Meta AI aurait permis à des pirates d’accéder à des comptes tiers en contournant trop facilement les procédures de récupération, simplement en convainquant le chatbot de modifier l’adresse email associée à un profil.
La faille aurait été partagée sur un canal Telegram par un pirate expliquant comment tromper l’assistant intégré aux services de Meta, dont Facebook, Instagram, WhatsApp et Threads. D’après les éléments rapportés, il suffisait d’insister auprès du chatbot en se présentant comme le propriétaire du compte visé. L’IA aurait alors accepté de remplacer l’adresse email liée au compte, puis de lancer une réinitialisation du mot de passe.
Une telle manipulation rend la récupération du compte beaucoup plus difficile pour son véritable titulaire. Elle oblige souvent la victime à passer par une procédure complète de vérification, avec un délai et une incertitude supplémentaires.
Plusieurs comptes très visibles auraient été touchés. Le compte Instagram officiel @obamawhitehouse, associé à l’ancien président américain Barack Obama, aurait publié durant le week-end des messages présentés comme de la propagande iranienne. Le chef de la Space Force américaine ainsi que le compte de Sephora auraient également été concernés, selon 404 Media.
Meta a reconnu un problème sans entrer dans les détails. Son responsable de la communication, Andy Stone, a indiqué que l’incident avait été corrigé et que les comptes touchés étaient en cours de sécurisation.
L’affaire relance les inquiétudes autour de l’usage de l’IA dans le support client. Les chatbots peuvent accélérer le traitement des demandes, mais ils deviennent aussi des points d’entrée sensibles lorsqu’ils disposent d’un pouvoir direct sur les comptes, les identifiants ou les paramètres de sécurité.
Les experts en cybersécurité alertent depuis plusieurs années sur ce risque. Un assistant trop permissif peut être manipulé par des demandes formulées avec insistance ou habileté. Dans le même temps, les pirates utilisent eux aussi l’IA pour automatiser leurs attaques, repérer des failles et rendre leurs campagnes plus efficaces.
Le problème dépasse donc le seul cas de Meta. À mesure que les plateformes confient davantage de tâches sensibles à des systèmes automatisés, la sécurité dépend moins seulement de mots de passe ou de codes de validation. Elle repose aussi sur la capacité de ces IA à reconnaître les tentatives de manipulation et à refuser les demandes qui exposent les utilisateurs.
