Meta clarifie la « tempête de réinitialisation du mot de passe » sur Instagram : causée par une vulnérabilité du système, aucune fuite de données ne s'est produite

Selon des informations du 11 janvier, le média étranger Dailymail a rapporté que des millions d'utilisateurs d'Instagram à travers le monde avaient reçu un nombre inhabituellement dense d'e-mails de réinitialisation de mot de passe, provoquant des inquiétudes généralisées et des problèmes de sécurité. Plusieurs agences de cybersécurité et médias étrangers ont souligné que des informations personnelles sans mot de passe (y compris les noms d'utilisateur, les vrais noms, les adresses e-mail, les numéros de téléphone, les adresses partielles et d'autres informations de contact) d'environ 17,5 millions de comptes auraient été obtenues illégalement via l'interface API d'Instagram en 2024 et ont été rendues publiques sur le forum BreachForums par un acteur malveillant nommé « Solonnik » le 8 janvier 2026. L'ensemble de données contient plus de 17 millions d'enregistrements et est disponible. en téléchargement gratuit.

Après que l'incident a été révélé, la société de sécurité Malwarebytes a émis une alerte précoce sur les plateformes sociales le 10 janvier, soulignant que même si le lot d'informations ne contenait pas de mots de passe en texte clair ni d'identifiants cryptés, les données d'identité personnelles hautement structurées pourraient facilement être utilisées pour des activités criminelles ultérieures telles que le spear phishing, les attaques d'ingénierie sociale, l'usurpation d'identité et la fraude financière. Au cours de la même période, un grand nombre d’utilisateurs ont déclaré avoir reçu des e-mails de réinitialisation standardisés d’Instagram dans un court laps de temps. Le contenu contenait un bouton bleu saisissant « Réinitialiser le mot de passe » et une invite standard : « Si vous ignorez cet e-mail, votre mot de passe ne sera pas modifié ; si aucune demande n'est initiée, veuillez nous en informer. »

En réponse aux inquiétudes du public, Meta a officiellement publié une déclaration le 11 janvier en réponse. L'entreprise a été claire : "Aucune violation de données n'a eu lieu, les systèmes Instagram n'ont pas été compromis et les comptes d'utilisateurs restent en sécurité."

Selon un porte-parole de Meta, ce déclencheur d'e-mails à grande échelle était dû à une vulnérabilité technique corrigée qui permettait à des tiers de contourner le processus de vérification normal et de lancer de fausses demandes de réinitialisation de mot de passe par lots à certains utilisateurs d'Instagram, déclenchant ainsi l'envoi automatique d'e-mails de réinitialisation par le système.

Meta a souligné que les vulnérabilités concernées ont été réparées dès que possible après leur découverte et a confirmé qu'il n'y a aucune preuve que le problème a été utilisé pour un piratage de compte malveillant ou d'autres comportements de pénétration latérale. Meta s'est excusé pour la confusion du public provoquée par cette fausse alerte et a réitéré son engagement à continuer d'investir dans la mise à niveau de la sécurité des infrastructures et le contrôle d'accès aux API.