Compromission de comptes Instagram via l'outil « High Touch Support » de Meta (2026)

Le 8 juin 2026, Meta Platforms — l'exploitant d'Instagram — a révélé que des attaquants avaient détourné 20 225 comptes Instagram en abusant d'une faille dans High Touch Support (HTS), un outil de récupération de compte assisté par IA destiné à aider les utilisateurs bloqués à retrouver l'accès. Dans une déclaration au procureur général du Maine, Meta a indiqué que l'abus était passé inaperçu pendant environ six semaines avant d'être détecté.

Ce qui s'est passé

HTS est conçu pour guider les utilisateurs dans la récupération de leur compte lorsqu'ils ne peuvent plus se connecter. La vulnérabilité résidait dans une vérification manquante : l'outil ne confirmait pas correctement que l'adresse e-mail saisie lors de la récupération correspondait bien à celle déjà associée au compte Instagram ciblé. Un attaquant pouvait donc demander une réinitialisation de mot de passe pour le compte d'autrui et recevoir le lien de réinitialisation dans une boîte de réception qu'il contrôlait.

Comme la procédure de réinitialisation passait par le flux d'assistance, les attaquants pouvaient prendre le contrôle de comptes même lorsque la victime avait activé l'authentification à deux facteurs, contournant ainsi une protection que l'on conseille sans cesse aux utilisateurs. Selon Meta, l'abus a commencé vers le 17 avril 2026 et n'a été découvert que le 31 mai 2026 ; l'entreprise a alors mis l'outil hors ligne et invalidé tous les liens de réinitialisation générés par HTS.

Impact

20 225 comptes Instagram ont été détournés via la faille de l'outil de récupération.
La fenêtre d'abus s'est étendue sur environ sept semaines (de la mi-avril au début juin) avant détection.
Parmi les cibles notables rapportées figuraient un compte dormant de l'ère Obama à la Maison-Blanche et le compte d'un sous-officier supérieur de la Space Force américaine.
Meta prévoit de notifier les utilisateurs concernés à partir du 19 juin 2026 et de les inviter à vérifier leurs paramètres de sécurité et à activer l'authentification à deux facteurs.

Aucun groupe d'attaquants en particulier n'a été publiquement désigné comme responsable.

Pourquoi c'est important

Cette compromission illustre le risque que représentent les outils d'assistance et de récupération de compte en tant que surface d'attaque — et, de plus en plus, les flux d'assistance assistés par IA qui automatisent des décisions qu'un examinateur humain aurait pu intercepter. Le détail le plus marquant est qu'une faille dans le parcours de récupération a neutralisé l'authentification à deux facteurs des comptes concernés : la protection que l'on conseille de privilégier n'a servi à rien, car le détournement n'est jamais passé par la connexion classique.

Chronologie

17 avril 2026

Des parties non autorisées commencent à abuser de l'outil de récupération High Touch Support (HTS) pour demander des réinitialisations de mot de passe sur des comptes qui ne leur appartiennent pas.

31 mai 2026

Meta découvre l'abus de l'outil HTS.

1 juin 2026

Meta désactive HTS et invalide tous les liens de réinitialisation de mot de passe générés par l'outil.

8 juin 2026

Meta informe le procureur général du Maine que 20 225 comptes Instagram ont été touchés ; l'incident est largement relayé.

19 juin 2026

Meta prévoit de commencer à notifier les utilisateurs concernés par voie électronique et de recommander l'activation de l'authentification à deux facteurs.

Sources

helpnetsecurity.comhttps://www.helpnetsecurity.com/2026/06/08/instagram-ai-support-vulnerability-account-takeovers/

securityweek.comhttps://www.securityweek.com/meta-says-20000-instagram-accounts-hacked-via-ai-tool-abuse/

cybernews.comhttps://cybernews.com/privacy/meta-critical-vulnerability-tool-20k-instagram-user/

bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/meta-ai-support-data-breach-affects-20-000-instagram-accounts/

Incidents liés

Exploitation de vulnérabilitéContenu9 juin 2026

ServiceNow révèle une faille d'API sans authentification ayant permis d'interroger les données d'instances clientes

ServiceNow a révélé qu'un point de terminaison REST mal configuré et accessible sans authentification permettait d'interroger les données d'instances clientes hébergées, un problème corrigé le 5 juin mais dont l'avis (réservé aux clients connectés) n'a été publié que plusieurs jours plus tard.

Victim: ServiceNow

Exploitation de vulnérabilitéEn cours22 mai 2026

Fuite chez Médiathèque Numérique du Conseil Départemental de la Haute-Garonne

Révélée vers le 22 mai 2026, la médiathèque numérique départementale de la Haute-Garonne (Média31) a été compromise via l'exploitation de vulnérabilités du site, exposant les données d'environ 765 usagers : noms, e-mails, dates de naissance, villes et identifiants de connexion.

Victim: Médiathèque Numérique du Conseil Départemental de la Haute-Garonne
Records: 765

Exploitation de vulnérabilitéContenu6 mai 2026

BookMyName : une cyberattaque a compromis des données liées à des noms de domaine

Le registrar français BookMyName a détecté le 5 mai 2026 un incident de sécurité au cours duquel un attaquant a exploité une vulnérabilité pour modifier frauduleusement des données de contact de domaines, exposant identifiants, noms, e-mails, téléphones et adresses postales de certains clients.

Victim: BookMyName

Exploitation de vulnérabilitéEn cours18 avril 2026

Magento : +7 500 sites compromis dans une vague mondiale de piratage

Une campagne mondiale automatisée exploitant une faille d'upload de fichiers non authentifié dans Magento a défacé plus de 7 500 sites e-commerce sur plus de 15 000 hôtes, déposant des fichiers malveillants sur des boutiques liées à Toyota, Fiat, Asus et FedEx.

Victim: Magento