Instagram frappé par le chaos de la réinitialisation de mot de passe : 17,5 millions de données de comptes Instagram piratés sous le feu des projecteurs

Les utilisateurs d’Instagram ont été confrontés à une confusion généralisée cette semaine après avoir reçu des e-mails de réinitialisation de mot de passe non sollicités, ce qui a suscité des inquiétudes quant à la sécurité des systèmes de la plateforme. Alors que le géant des médias sociaux a initialement minimisé l’incident, affirmant qu’une seule fonctionnalité de réinitialisation de mot de passe avait été abusée et qu’aucun système interne n’avait été compromis, des chercheurs en sécurité ont présenté un tableau différent.

La controverse autour du piratage de comptes Instagram s’intensifie

Selon des chercheurs en sécurité, les e-mails non autorisés de réinitialisation de mot de passe étaient liés à des identifiants volés circulant sur des forums clandestins. Plus précisément, des données prétendument issues de 17,5 millions de comptes Instagram — comprenant noms d’utilisateur, coordonnées et autres détails de profil — étaient commercialisées par des acteurs malveillants affirmant que le matériel provenait d’une fuite de sécurité de 2024. La divulgation est devenue virale sur les réseaux sociaux, accumulant des millions de vues.

Cependant, le récit est devenu plus flou lorsque d’autres analystes ont suggéré que l’ensemble de données pourrait en réalité être une information recyclée, extraite de profils visibles publiquement en 2022, plutôt que des données récemment volées. Cette contradiction a divisé la communauté de la sécurité et accru l’incertitude des utilisateurs quant à ce qui s’est réellement passé.

Ce que dit Instagram

La plateforme a maintenu sa position selon laquelle le problème était limité à la manière dont des acteurs externes exploitaient le mécanisme de réinitialisation de mot de passe — en trompant essentiellement le système pour qu’il envoie des e-mails légitimes de réinitialisation aux utilisateurs. Instagram n’a pas précisé qui avait orchestré l’attaque ni fourni de transparence sur la façon dont la brèche s’était produite. Les liens de réinitialisation de mot de passe eux-mêmes semblaient légitimes et redirigeaient vers des pages officielles d’Instagram plutôt que vers des domaines de phishing, ce qui a apporté une certaine reassurance technique.

Mesures de sécurité pour les utilisateurs

Face à l’incident, les professionnels de la cybersécurité recommandent aux utilisateurs d’Instagram de prendre des précautions immédiates : éviter de cliquer sur des liens dans des e-mails non sollicités, réinitialiser les mots de passe directement via l’application ou le site officiel, et activer l’authentification à deux facteurs pour une protection supplémentaire. Ces mesures restent essentielles, que les données piratées d’Instagram proviennent de 2024 ou d’une année antérieure.

Impact sur le marché

La controverse de sécurité a brièvement secoué la confiance des investisseurs, l’action Meta clôturant en baisse de 1,69 % mardi à 631,09 $. Cependant, la séance après la clôture a montré une reprise, avec une hausse de 1,85 % à 642,74 $ sur le NasdaqGS, suggérant que les marchés assimilent l’incident comme un problème gérable plutôt qu’une défaillance fondamentale de la sécurité.

Les messages contradictoires provenant de différentes sources soulignent à quel point une communication transparente devient cruciale lorsque la sécurité des utilisateurs est en jeu.