Une faille particulièrement inquiétante a permis à des pirates de prendre le contrôle de comptes Instagram en détournant l’assistant de support alimenté par l’intelligence artificielle de Meta. Le fonctionnement était relativement simple : les attaquants parvenaient à faire modifier l’adresse e-mail liée à un compte qui ne leur appartenait pas, avant d’utiliser le processus de récupération pour en reprendre le contrôle. Meta affirme avoir corrigé le problème le 1er juin 2026.
Sommaire
Comment pirater un compte Instagram sans connaître son mot de passe ? Pendant quelques jours, certains pirates ont trouvé une réponse inattendue : demander de l’aide directement à l’intelligence artificielle de Meta.
L’assistant automatisé mis en place par le groupe pour aider les utilisateurs rencontrant des problèmes avec leurs comptes Instagram a été détourné de son fonctionnement normal.
Des attaquants ont réussi à lui faire exécuter une opération qui aurait normalement nécessité une vérification beaucoup plus stricte de l’identité du demandeur : modifier l’adresse e-mail associée à un compte Instagram.
Une fois cette adresse remplacée par une adresse contrôlée par le pirate, le véritable propriétaire pouvait perdre l’un des principaux moyens permettant de récupérer son profil.
Comment la faille permettait-elle de pirater un compte Instagram ?
Contrairement à de nombreux piratages de comptes Instagram, cette attaque ne nécessitait pas de voler directement le mot de passe de la victime grâce à un faux site de connexion.
Le problème se situait dans le système d’assistance de Meta.
Lorsqu’un utilisateur perd l’accès à son compte Instagram, le support peut normalement l’aider à vérifier son identité et à récupérer son profil. Meta a commencé à automatiser une partie de cette assistance grâce à un chatbot utilisant l’intelligence artificielle.
Dans le cas de la faille découverte en juin 2026, des pirates ont compris qu’il était possible de manipuler ce système pour lui faire accepter une demande provenant d’une personne qui n’était pas réellement propriétaire du compte.
Le pirate indiquait au système qu’il souhaitait récupérer l’accès au profil ciblé et cherchait à faire remplacer l’adresse e-mail associée au compte.
Le problème était qu’une partie du système ne vérifiait pas correctement que la personne effectuant cette demande était réellement autorisée à modifier cette information.
L’assistant pouvait alors associer au compte une nouvelle adresse e-mail contrôlée par l’attaquant.
Le pirate pouvait ensuite utiliser la procédure normale de récupération
C’est à ce moment que la faille devenait particulièrement dangereuse.
Une fois son adresse e-mail associée au compte Instagram ciblé, l’attaquant pouvait utiliser les mécanismes habituels de récupération du réseau social.
Il devenait alors possible de recevoir un lien permettant de réinitialiser les identifiants du compte.
Le pirate ne cassait donc pas techniquement le mot de passe existant.
Il parvenait à convaincre le système de Meta qu’il était désormais une personne légitime à laquelle pouvait être envoyé un moyen de récupération.
Le propriétaire original risquait alors de découvrir que son mot de passe avait été modifié et qu’il ne pouvait plus accéder normalement à son profil.
C’est ce mécanisme qui explique pourquoi l’affaire a autant inquiété les spécialistes de la cybersécurité : les attaquants ont utilisé contre Instagram son propre système destiné à protéger et à récupérer les comptes.
Les pirates ont détourné l’IA plutôt que de s’attaquer directement au mot de passe
L’affaire montre une nouvelle manière de penser le piratage informatique.
Traditionnellement, pour pirater un compte Instagram, un attaquant peut tenter de voler un mot de passe grâce au phishing, utiliser des identifiants provenant d’une fuite de données ou tromper directement la victime.
Ici, les pirates se sont attaqués à l’intermédiaire chargé de protéger le compte.
Selon Reuters, l’incident met notamment en évidence les risques liés aux attaques visant à manipuler les instructions données à un système d’intelligence artificielle.
L’objectif consiste à amener l’IA à effectuer une action qu’elle ne devrait normalement pas autoriser.
Dans ce cas précis, le problème était aggravé par le fait que le chatbot ne se contentait pas de répondre à des questions.
Il pouvait interagir avec des fonctions sensibles liées aux comptes des utilisateurs.
Une mauvaise décision de l’IA ou une vérification insuffisante pouvait donc avoir une conséquence réelle : modifier l’accès à un compte Instagram.
Sephora et un ancien compte de la Maison-Blanche ont été visés
La faille a notamment été remarquée après le piratage de plusieurs comptes particulièrement visibles.
Le compte Instagram de Sephora a été cité parmi les profils concernés, tout comme un ancien compte officiel de la Maison-Blanche utilisé pendant la présidence de Barack Obama et le compte d’un responsable de l’US Space Force.
Le chercheur en sécurité Jane Manchun Wong aurait également été victime de cette technique.
Ces profils à forte visibilité constituent des cibles particulièrement intéressantes pour les pirates.
Prendre le contrôle d’un compte suivi par plusieurs centaines de milliers ou millions de personnes peut permettre de diffuser rapidement une arnaque, de promouvoir une fausse opération financière ou de tenter d’escroquer directement les abonnés.
Jusqu’à 20 225 comptes Instagram potentiellement concernés
L’incident aurait été beaucoup plus large que les quelques comptes connus initialement.
Selon des informations rapportées par The Verge à partir d’une notification de Meta, jusqu’à 20 225 comptes Instagram pourraient avoir été concernés par des accès non autorisés liés à cette vulnérabilité.
Ce chiffre doit toutefois être interprété avec prudence.
Il représente une estimation des comptes susceptibles d’avoir été exposés dans le cadre de l’incident et ne signifie pas nécessairement que chacun d’entre eux a été définitivement volé par un pirate.
Les comptes ne disposant pas d’une protection supplémentaire comme l’authentification à deux facteurs étaient particulièrement vulnérables à une prise de contrôle complète.
Meta a corrigé la faille le 1er juin 2026
Il est important de préciser qu’il ne s’agit pas aujourd’hui d’une méthode connue permettant de pirater facilement n’importe quel compte Instagram.
Meta affirme avoir corrigé la vulnérabilité le 1er juin 2026, après avoir identifié le problème.
Le groupe a notamment désactivé l’outil concerné, corrigé la partie défaillante du système et invalidé certains liens de récupération générés pendant la période de vulnérabilité.
Les utilisateurs potentiellement concernés ont également fait l’objet de mesures supplémentaires destinées à sécuriser leurs comptes.
La faille exploitée dans cette affaire est donc considérée comme corrigée.
Peut-on encore pirater un compte Instagram de cette manière ?
Selon les informations disponibles, non.
La vulnérabilité précise qui permettait de détourner le système d’assistance de Meta a été corrigée.
Cela ne signifie évidemment pas qu’un compte Instagram ne peut plus être piraté.
Les techniques les plus courantes restent généralement beaucoup plus classiques : faux messages de sécurité, pages de connexion imitant Instagram, mots de passe réutilisés sur plusieurs services ou récupération frauduleuse des identifiants d’un utilisateur.
Les créateurs de contenu et les influenceurs sont particulièrement ciblés, car leurs comptes peuvent avoir une valeur économique importante.
Un profil Instagram suivi par plusieurs centaines de milliers de personnes peut représenter plusieurs années de travail, des contrats avec des marques et parfois la principale source de revenus de son propriétaire.
Comment protéger son compte Instagram contre le piratage ?
L’authentification à deux facteurs reste l’une des protections les plus importantes.
Elle ajoute une étape supplémentaire lorsqu’une nouvelle connexion est détectée et peut empêcher un attaquant de prendre facilement le contrôle du profil même lorsqu’il réussit à obtenir ou à modifier certaines informations d’accès.
Il est également recommandé d’utiliser un mot de passe unique pour Instagram et de ne jamais communiquer les codes de sécurité reçus par SMS ou générés par une application d’authentification.
Les messages prétendant provenir du support Instagram doivent également être vérifiés avec prudence.
De nombreuses tentatives de piratage commencent par une fausse alerte affirmant qu’un compte va être supprimé, suspendu ou perdre sa certification afin d’inciter son propriétaire à cliquer rapidement sur un lien.
Que faire si son compte Instagram a déjà été piraté ?
Instagram dispose d’une procédure officielle de récupération accessible à l’adresse instagram.com/hacked.
Elle permet notamment de signaler qu’un compte a été compromis, qu’un mot de passe a été modifié ou qu’une personne a changé les coordonnées associées au profil.
Lorsqu’une modification de l’adresse e-mail est détectée, Instagram peut également envoyer un message à l’ancienne adresse afin de permettre au véritable propriétaire de signaler que le changement n’était pas autorisé.
Il faut en revanche éviter les personnes qui promettent de récupérer un compte Instagram piraté contre paiement sur Telegram, WhatsApp ou les réseaux sociaux.
Ces prétendus spécialistes de la récupération de comptes sont souvent eux-mêmes à l’origine d’escroqueries.
Une faille qui montre les limites du support automatisé par IA
L’affaire dépasse finalement la seule question de savoir comment pirater un compte Instagram.
Elle montre surtout les risques qui apparaissent lorsque des entreprises confient des opérations sensibles à des assistants utilisant l’intelligence artificielle.
Un chatbot capable d’expliquer comment réinitialiser un mot de passe présente relativement peu de risques.
Un chatbot capable de modifier directement les informations permettant d’accéder à un compte doit en revanche être entouré de mécanismes de vérification extrêmement stricts.
Dans cette affaire, les pirates n’ont pas réussi à casser directement la sécurité d’Instagram.
Ils ont exploité une faiblesse dans le processus chargé de décider qui avait réellement le droit de récupérer un compte.
Et pendant un court moment, il a suffi de tromper l’assistant chargé d’aider les utilisateurs pour retourner le système de récupération de Meta contre eux.
Sources
Le Monde — L’assistant IA de Meta détourné pour pirater des comptes Instagram
https://www.lemonde.fr/pixels/article/2026/06/02/l-assistant-ia-de-meta-detourne-pour-pirater-des-comptes-instagram_6696383_4408996.html
404 Media — Hackers Simply Asked Meta AI to Give Them Access to High-Profile Instagram Accounts. It Worked.
https://www.404media.co/hackers-simply-asked-meta-ai-to-give-them-access-to-high-profile-instagram-accounts-it-worked/
Reuters — High-profile Instagram AI chatbot breach spotlights security risks of automation
https://www.reuters.com/legal/government/high-profile-meta-ai-chatbot-breach-spotlights-security-risks-automation-2026-06-03/
The Verge — Meta’s own AI was exploited to hijack Instagram accounts
https://www.theverge.com/tech/941179/meta-instagram-ai-support-chatbot-exploit-hacked
The Verge — Hackers likely hijacked over 20,000 Instagram accounts with Meta’s AI chatbot
https://www.theverge.com/tech/945658/meta-ai-support-chatbot-exploit-instagram-accounts
Instagram — Outil officiel de récupération d’un compte piraté
https://www.instagram.com/hacked/












