Vous avez reçu des emails de réinitialisation de mot de passe Instagram ces derniers jours ? Vous n’êtes pas seul. Le 9 janvier, la société de cybersécurité Malwarebytes a confirmé une fuite massive touchant 17,5 millions de comptes. Les données compromises – noms d’utilisateurs, emails, numéros de téléphone et adresses physiques – circulent désormais sur le dark web.
Ces données proviendraient d’une vulnérabilité de l’API Instagram exploitée fin 2024. Il ne s’agit pas d’un piratage direct des serveurs de Meta, mais plutôt d’un « scraping » massif, une collecte automatisée de données via des interfaces publiques. L’ampleur de cette fuite suggère cependant une défaillance des protections anti-abus d’Instagram.
À noter que cette fuite s’inscrit dans une tendance préoccupante : en novembre 2024, une autre base de données contenant 489 millions de comptes Instagram avait déjà été mise en vente sur le dark web.
Pourquoi ces emails ?
Depuis début janvier, de nombreux utilisateurs à travers le monde reçoivent des emails leur indiquant qu’une demande de réinitialisation de mot de passe a été effectuée sur leur compte. Ces messages, souvent en anglais, proviennent effectivement des serveurs d’Instagram ([email protected]).
L’explication est simple : les cybercriminels, armés des millions d’adresses email de la fuite, utilisent des robots pour déclencher massivement la fonction « Mot de passe oublié » d’Instagram. Leur objectif ? Créer la panique chez les utilisateurs, dans l’espoir qu’ils cliquent sur un faux lien de phishing envoyé dans la foulée, ou qu’ils commettent une erreur de manipulation.
Les 4 règles à suivre
Pour de nombreux photographes professionnels, Instagram est bien plus qu’un réseau social : c’est une vitrine, un portfolio en ligne et parfois même un canal de vente. Les comptes de créateurs, souvent plus suivis et plus visibles, constituent des cibles de choix pour les pirates. Une fois un compte compromis, il peut être utilisé pour des arnaques, revendu, ou simplement supprimé par malveillance.
Ne cliquez jamais sur les liens des emails de réinitialisation. Pour toute action, rendez-vous directement sur instagram.com ou dans l’application mobile.
Activez l’authentification à deux facteurs via une application (Google Authenticator, Authy) – pas par SMS. Les pirates peuvent intercepter vos SMS grâce au « SIM swapping », une technique consistant à transférer votre numéro vers leur propre carte SIM.
Changez votre mot de passe en passant uniquement par l’application ou le site officiel. Utilisez un mot de passe unique et complexe.
Ne partagez jamais vos identifiants. Cela peut sembler évident, mais de nombreux photographes partagent leurs accès avec des agences ou des outils tiers de gestion de réseaux sociaux. Si vous devez déléguer l’accès à votre compte, utilisez les fonctionnalités officielles de Meta Business Suite qui permettent d’ajouter des collaborateurs sans partager vos identifiants.
Pour les photographes, Instagram représente souvent des années de travail. Meta n’a pas encore communiqué officiellement sur cette fuite. En attendant, quelques minutes de configuration peuvent vous éviter de perdre votre compte.
