Une nouvelle alerte de cybersécurité frappe l’un des réseaux sociaux les plus utilisés au monde. Instagram a reconnu avoir corrigé une faille technique après une vague inhabituelle de demandes de réinitialisation de mots de passe reçues par des utilisateurs début janvier. En parallèle, des chercheurs en cybersécurité affirment que les données personnelles de plusieurs millions de comptes circulent actuellement sur des forums clandestins, ravivant les inquiétudes autour de la protection des informations privées. Selon plusieurs sources spécialisées, près de 17,5 millions de profils Instagram seraient concernés par une fuite de données repérée sur le dark web. Les informations mises en ligne incluraient des noms d’utilisateur, des adresses électroniques, des numéros de téléphone et, dans certains cas, des adresses postales. Ces données ont été diffusées gratuitement sur des plateformes connues pour héberger des bases issues de piratages, ce qui accroît considérablement les risques de fraude à grande échelle. Face à la multiplication de signalements d’utilisateurs ayant reçu des courriels inattendus de la plateforme, Instagram a réagi publiquement. Le réseau social explique avoir identifié puis corrigé une vulnérabilité permettant à un tiers de déclencher l’envoi d’e-mails de réinitialisation de mot de passe sans autorisation préalable des titulaires de comptes. La société assure toutefois que ses systèmes n’ont pas été compromis et qu’aucune intrusion directe n’a été constatée.
Des données anciennes recyclées par les cybercriminels
L’origine exacte des données mises en circulation reste au cœur des interrogations. Des experts indépendants estiment que les informations concernées ne proviennent pas nécessairement de l’incident technique récemment corrigé. D’après les analyses croisées avec des bases de données existantes, ces éléments seraient en réalité issus de fuites plus anciennes, remontant à plusieurs années, et auraient été réexploités par des acteurs malveillants pour semer la confusion. Des chercheurs spécialisés dans la surveillance des violations de données soulignent que l’ensemble des informations diffusées figuraient déjà dans des répertoires de fuites connues. Cette hypothèse suggère une stratégie classique de recyclage de données : des bases anciennes sont remises en avant, associées à un événement technique récent, afin de maximiser l’impact médiatique et la crédibilité des attaques de type hameçonnage. Cette mécanique n’en demeure pas moins dangereuse. Les données personnelles, même anciennes, offrent un terrain propice à l’usurpation d’identité et aux tentatives d’escroquerie. Les cybercriminels peuvent se faire passer pour des services officiels, envoyer de faux messages de sécurité ou tenter de contourner les protections des comptes en multipliant les demandes de réinitialisation de mots de passe.
Des risques persistants pour les utilisateurs
Les spécialistes en cybersécurité rappellent que la diffusion de telles bases expose les utilisateurs à plusieurs menaces simultanées. Outre le phishing, les informations peuvent être utilisées pour cibler des campagnes d’arnaques personnalisées ou pour tenter des connexions frauduleuses sur d’autres services utilisant les mêmes identifiants. Le danger est d’autant plus élevé lorsque les mots de passe sont réutilisés sur plusieurs plateformes. De son côté, la maison mère d’Instagram n’a pas confirmé l’existence d’une fuite massive liée à un incident récent, tout en indiquant que des mesures correctives avaient été prises. En attendant d’éventuelles précisions supplémentaires, les experts recommandent aux utilisateurs de modifier leurs mots de passe, d’activer l’authentification à deux facteurs et de redoubler de vigilance face aux messages se présentant comme des alertes de sécurité.
