Des millions d’utilisateurs d’Instagram pourraient recevoir, ces jours-ci, des messages pour le moins troublants. Il s’agit d’e-mails ou de SMS demandant de réinitialiser un mot de passe ou de vérifier un compte. À première vue, ces messages semblent légitimes. En réalité, ils relèvent d’une vaste campagne d’hameçonnage liée à une exposition massive de données personnelles, révélée par la société de cybersécurité Malwarebytes.
Selon les informations analysées par cette entreprise, les données de 17,5 millions de comptes Instagram auraient été mises en circulation sur des forums fréquentés par des cybercriminels. Les fichiers, au format JSON et TXT, sont structurés et exploitables, ce qui facilite leur utilisation à des fins frauduleuses.
Face à ces révélations, Meta, maison mère d’Instagram, a rapidement tenu à rassurer. Un porte-parole de l’entreprise affirme qu’aucune compromission directe de ses systèmes n’a été détectée et qu’aucune intrusion dans son interface de programmation n’a été confirmée. Selon Meta, les utilisateurs peuvent ignorer ces messages frauduleux, leurs comptes étant, officiellement, sécurisés.
Parallèlement, Meta reconnaît toutefois avoir corrigé une vulnérabilité permettant à des tiers d’envoyer massivement des demandes de réinitialisation de mot de passe. Cette faille aurait pu être exploitée pour renforcer la crédibilité des tentatives d’escroquerie, sans pour autant donner un accès direct aux comptes.
L’auteur de la fuite, se présentant sous le pseudonyme « Solonik », affirme que les données proviendraient d’une faille de l’interface de programmation d’Instagram datant de 2024. Une affirmation que Meta dément catégoriquement. En l’absence de communication officielle détaillée, l’origine exacte de l’exposition reste floue.
Les informations concernées ne contiennent pas de mots de passe. Toutefois, elles incluent des noms d’utilisateurs, des noms complets, des adresses e-mail, des numéros de téléphone internationaux, des fragments d’adresses postales ainsi que des identifiants internes. Un volume de données largement suffisant pour mener des attaques d’hameçonnage ciblées, crédibles et parfois dévastatrices.
Le risque principal réside désormais dans l’usurpation d’identité. En disposant à la fois des adresses électroniques et des numéros de téléphone, les cybercriminels peuvent manipuler leurs victimes et les pousser à divulguer volontairement l’accès à leurs comptes, souvent sans s’en rendre compte.
À ce stade, aucun communiqué officiel détaillé de Meta n’a été publié pour expliquer les circonstances exactes de cette exposition ni pour indiquer si les utilisateurs concernés seront contactés individuellement. Dans ce climat d’incertitude, la prudence demeure essentielle. Tout message prétendant provenir d’Instagram ou de Meta et invitant à une action urgente doit être traité avec la plus grande méfiance.
Les bonnes pratiques restent inchangées : activer l’authentification à deux facteurs, éviter de cliquer sur des liens suspects, et modifier immédiatement son mot de passe pour en choisir un unique, robuste et réservé exclusivement à Instagram. Ces gestes simples constituent aujourd’hui la meilleure défense face à une menace qui, elle, ne cesse de se perfectionner.
