En résumé:
- PCWorld rapporte que les récents e-mails de réinitialisation de mot de passe Instagram étaient légitimes et non des tentatives de phishing, malgré la confusion généralisée des utilisateurs quant aux piratages potentiels de comptes.
- Le chercheur en sécurité Troy Hunt a identifié une fuite de données affectant jusqu’à 17 millions de comptes Instagram, exposant les noms d’utilisateur, les e-mails et les numéros de téléphone, mais pas les mots de passe.
- Les utilisateurs doivent activer l’authentification à deux facteurs et cocher « Have I Been Pwned » pour vérifier si leurs données ont été compromises lors de cet incident.
Ces derniers jours, de nombreux utilisateurs d’Instagram ont reçu un email suspect leur demandant de réinitialiser leur mot de passe. L’e-mail indique qu’Instagram a reçu une demande de réinitialisation de mot de passe.
Si de nombreux utilisateurs ont (à juste titre) ignoré l’e-mail, certains craignent qu’il puisse s’agir d’une tentative de phishing de la part d’attaquants malveillants. Cependant, il s’avère que la demande d’Instagram était authentique.
Divers sites, tels que BleepingComputer, ont ensuite signalé qu’il y avait eu une fuite de données majeure, grâce à laquelle les attaquants ont pu accéder aux données des utilisateurs d’environ 17 millions de comptes Instagram. C’est du moins ce qui a été affirmé sur certains forums.
L’ensemble de données divulgué contiendrait les noms d’utilisateur et les identifiants d’environ 17 millions de comptes. À cela s’ajoutent 12 millions de vrais noms, 6 millions d’adresses e-mail et 3 millions de numéros de téléphone. Il n’est pas dit que les mots de passe apparaissent dans l’ensemble de données.
Instagram nie la fuite de données
Peu de temps après, Instagram lui-même a publié une déclaration. Un porte-parole a déclaré à BleepingComputer qu’il y avait effectivement eu un problème technique qui permettait à des sources externes d’envoyer des e-mails de réinitialisation de mot de passe. Cependant, Instagram a déclaré qu’aucune donnée n’avait été divulguée de cette façon.
Instagram a également assuré aux utilisateurs qu’il n’y avait aucune raison de s’inquiéter. Ils doivent simplement ignorer les e-mails et aucune autre action n’est nécessaire.
D’où viennent les données ?
Si la fuite de données ne provenait pas de cet incident récent, une question légitime se pose : d’où pourraient provenir les données divulguées ? Les experts supposent que les données des utilisateurs proviennent d’une autre fuite survenue en 2024. D’autres, cependant, affirment que la fuite de données remonte à 2022.
Instagram n’a confirmé l’existence d’aucun des deux incidents. La dernière fuite Instagram officiellement confirmée remonte à 2017.
Pendant ce temps, le chercheur en sécurité Troy Hunt rapporte via Have I Been Pwned que 6 millions d’adresses e-mail de comptes Instagram ont été divulguées. Hunt est considéré comme une source fiable en matière de violations de données. Il semble donc que les données divulguées pourraient effectivement provenir du récent incident sur Instagram.
Ce que tu devrais faire maintenant
Si vous avez reçu un e-mail inattendu de réinitialisation de mot de passe d’Instagram, vous n’avez pas à vous inquiéter d’un éventuel piratage de votre compte. Comme mentionné ci-dessus, aucun mot de passe n’a été divulgué. Cependant, vous devez rester très vigilant face aux attaques de phishing et vérifier si votre adresse e-mail a été incluse dans un récent rapport HIBP.
Si vous ne l’avez pas déjà fait, activez l’authentification à deux facteurs sur votre compte Instagram pour renforcer sa sécurité et rendre plus difficile l’accès des pirates à votre compte. Apprenez-en davantage sur la protection de vos comptes avec l’authentification à deux facteurs.
