Skip to content
Fuite de donnéesEn cours

Fuite chez Instagram

En janvier 2026, un jeu de données d’environ 17,5 millions de comptes Instagram — noms d’utilisateurs, noms complets, adresses e-mail, numéros de téléphone et données de localisation partielles — a été mis en vente sur un forum du dark web, prétendument récolté via une fuite d’API de 2024.

Victime
Instagram
données
17.5M

Le 12 janvier 2026, Instagram — la plateforme de partage de photos et de vidéos de Meta — s’est retrouvée au cœur d’une fuite de données après la mise en vente, sur un forum du dark web, d’un jeu de données d’environ 17,5 millions d’enregistrements d’utilisateurs. Le jeu de données, publié par un acteur malveillant utilisant le pseudonyme « Solonik », était présenté comme une « fuite d’API » mondiale d’Instagram et aurait été récolté fin 2024 via un point d’accès d’API mal configuré ou détourné, plutôt que par une intrusion directe dans les serveurs de Meta.

Les enregistrements exposés, diffusés sous forme de fichiers JSON et TXT, comprenaient notamment :

  • Noms d’utilisateurs et noms complets
  • Identifiants numériques (user IDs)
  • Adresses e-mail
  • Numéros de téléphone
  • Pays et données de localisation / postales partielles

Les données ressemblant à des réponses natives de l’API, les enquêteurs (dont Malwarebytes, qui a repéré l’ensemble lors d’une surveillance du dark web) ont estimé qu’il s’agissait du produit d’un scraping de profils à grande échelle, les champs d’adresse physique ayant probablement été enrichis à partir de bases de données marketing externes. À la même période, de nombreux utilisateurs ont reçu des e-mails de réinitialisation de mot de passe non sollicités, des attaquants exploitant les adresses e-mail et numéros de téléphone divulgués pour déclencher des réinitialisations en masse et préparer des tentatives de phishing et d’ingénierie sociale.

Meta a minimisé l’incident, affirmant qu’il n’y avait « aucune violation de nos systèmes » et que les comptes restaient sécurisés, tout en indiquant avoir corrigé un problème technique qui avait permis à un tiers de demander des e-mails de réinitialisation pour certains utilisateurs. Au moment de la divulgation, l’entreprise n’avait pas confirmé le jeu de données spécifique de 17,5 millions d’enregistrements, et les données restaient en circulation — exposant les utilisateurs concernés à des risques de phishing et de prise de contrôle de compte. Le statut reste en cours.

Sources

  1. 01net.comhttps://www.01net.com/actualites/fuite-donnees-instagram-informations-17-millions-utilisateurs-volees.html
  2. engadget.comhttps://www.engadget.com/cybersecurity/an-instagram-data-breach-reportedly-exposed-the-personal-info-of-175-million-users-192105616.html
  3. cyberpress.orghttps://cyberpress.org/instagram-data-leak/
  4. brightdefense.comhttps://www.brightdefense.com/resources/instagram-breach/

Incidents liés