Pendant quelques heures, le scénario semblait familier : un fichier circulant dans les tréfonds du web, des chiffres impressionnants, et la crainte diffuse d’une nouvelle fuite massive de données. En ligne de mire, Instagram, accusé d’avoir laissé échapper les informations personnelles de 17,5 millions de comptes. Très vite, Meta est monté au créneau pour calmer le jeu. Selon le groupe, aucun piratage de ses systèmes n’a eu lieu. Pas d’intrusion, pas de brèche majeure : l’alerte n’était pas ce qu’elle semblait être.
À l’origine de la confusion, un dysfonctionnement technique précis. Un bug permettait à un acteur externe d’envoyer des e-mails de réinitialisation de mot de passe, donnant l’illusion d’une compromission généralisée. De quoi affoler les utilisateurs, certains recevant des messages les incitant à modifier leurs identifiants. Meta assure pourtant que ces courriels peuvent être ignorés sans risque : ils ne résultent pas d’un accès frauduleux aux bases de données de la plateforme.
En y regardant de plus près, le fameux fichier CSV présenté comme explosif raconte une histoire bien plus ancienne. Les données qu’il contient seraient issues de compilations successives, mêlant un piratage remontant à 2017 et d’autres fuites déjà connues. Les rumeurs évoquant une attaque récente via l’interface de programmation d’Instagram, en 2024 ou 2022, ont été formellement démenties. Pour Meta, il n’y a pas eu d’incident de cette nature ces dernières années.
Les chiffres, eux aussi, invitent à relativiser. Sur les 17 millions de lignes brandies comme preuve, seules une partie contiennent réellement des informations exploitables : environ six millions d’adresses e-mail, 3,5 millions de numéros de téléphone et un volume bien plus réduit d’adresses postales. Rapporté aux quelque deux milliards d’utilisateurs actifs mensuels de la plateforme, l’impact apparaît limité, même si la symbolique reste forte.
Reste que cette affaire rappelle une réalité persistante : les bases de données agrégées, même anciennes, conservent un potentiel de nuisance. Sans donner un accès direct aux comptes, elles constituent un terrain fertile pour le phishing et les attaques ciblées. Plus un cybercriminel dispose d’éléments crédibles, plus ses tentatives paraissent légitimes. D’où l’insistance, côté Meta, sur les règles de prudence : ne jamais changer de mot de passe à la suite d’une demande non sollicitée, ne transmettre aucune information personnelle par e-mail ou téléphone, et activer l’authentification à deux facteurs lorsque c’est possible.
Cette fausse alerte n’en est pas moins révélatrice d’un climat de défiance durable. Chaque rumeur de fuite ravive les inquiétudes autour de la protection des données personnelles, en particulier sur les grandes plateformes sociales. Même lorsque l’incident est démenti, le doute s’installe. Et c’est sans doute là l’enjeu principal pour Meta : rassurer ponctuellement, certes, mais surtout reconstruire une confiance fragilisée par des années de scandales, réels ou supposés, où la frontière entre bug, négligence et faille de sécurité reste, pour le grand public, difficile à distinguer.
