Un ensemble massif de données contenant des informations personnelles provenant d’environ 17 millions de comptes Instagram a été publié sur des forums de hackers, entraînant l’envoi massif d’e-mails de réinitialisation de mot de passe et soulevant des questions sur la frontière entre la « collecte automatisée de données » et les fuites de sécurité.
Le 7 janvier 2026, un acteur menaçant utilisant le pseudonyme « Solonik » a publié un ensemble de données intitulé « INSTAGRAM.COM 17M GLOBAL USERS — 2024 API LEAK » sur BreachForums, un forum de hackers souterrain notoire. La collection, au format JSON et TXT, contient des noms d’utilisateur, noms complets, adresses e-mail (pour environ 6,2 millions de comptes), numéros de téléphone, adresses partielles et données de géolocalisation, mais aucun mot de passe.
La société de cybersécurité Malwarebytes a découvert la fuite lors d’une surveillance de routine du dark web et a alerté les utilisateurs le 9 janvier. L’entreprise a averti que les attaquants exploitaient déjà les informations pour des campagnes de phishing et des tentatives de prise de contrôle de comptes, notamment en abusant du système de réinitialisation de mot de passe d’Instagram.
Les cybercriminels ont volé les informations sensibles de 17,5 millions de comptes Instagram, y compris les noms d’utilisateur, adresses physiques, numéros de téléphone, adresses e-mail et plus encore. pic.twitter.com/LXvjjQ5VXL
— Malwarebytes (@Malwarebytes) 9 janvier 2026
Instagram a réagi à l’incident le 11 janvier via son compte officiel X (anciennement Twitter) : « Nous avons corrigé un problème qui permettait à un tiers de demander des e-mails de réinitialisation de mot de passe pour certaines personnes. Aucun système n’a été compromis et vos comptes Instagram sont sécurisés. Vous pouvez ignorer ces e-mails — désolé pour toute confusion. »
Nous avons corrigé un problème qui permettait à un tiers de demander des e-mails de réinitialisation de mot de passe pour certaines personnes. Aucun système n’a été compromis et vos comptes Instagram sont sécurisés.
Vous pouvez ignorer ces e-mails — désolé pour toute confusion.
— Instagram (@instagram) 11 janvier 2026
Meta a suggéré que les données divulguées représentent de vieilles informations collectées automatiquement réapparaissant plutôt qu’une nouvelle intrusion.
Le débat sur le scraping et les fuites
Les chercheurs en sécurité restent partagés sur la façon de classer l’incident. Alors que Meta insiste sur le fait qu’aucun système n’a été compromis, Malwarebytes le considère comme une fuite de données, notant que des informations personnelles sensibles circulent librement sur les forums du dark web et sont activement utilisées par des cybercriminels.
La distinction importe peu aux utilisateurs concernés par rapport à la réalité pratique : leurs informations personnelles sont désormais accessibles aux personnes malveillantes, peu importe la manière dont elles ont été obtenues. Certains experts en cybersécurité suggèrent que les données pourraient provenir d’un incident de collecte automatisée via l’API en 2022, bien que cela ne soit pas confirmé.
Quelles données ont été exposées
Selon plusieurs rapports analysant l’ensemble de données divulgué (toutes ces informations ne sont pas présentes pour chaque enregistrement):
- ID : 17 015 503
- Nom d’utilisateur : 16 553 662
- Email : 6 233 162
- Numéro de téléphone : 3 494 383
- Nom : 12 418 006
- Adresse : 1 335 727
Important : Aucun mot de passe n’a été inclus dans la fuite.
Que faire maintenant
1. Vérifiez votre exposition
Visitez Have I Been Pwned et recherchez avec l’e-mail ou le numéro de téléphone associé à votre compte Instagram.
2. Activez l’authentification à deux facteurs
- Ouvrez l’application Instagram > Paramètres > Espace Comptes > Mot de passe et sécurité > Authentification à deux facteurs
- Choisissez une application d’authentification (Google Authenticator, Authy) plutôt que SMS
- L’authentification 2FA par SMS est vulnérable aux attaques de type SIM swap
3. Mettez à jour votre mot de passe
- Paramètres > Espace Comptes > Mot de passe et sécurité > Changer de mot de passe
- Créez un mot de passe fort et unique (12+ caractères, mélange de lettres, chiffres et symboles)
- Ne réutilisez jamais vos mots de passe sur plusieurs plateformes. Utilisez un gestionnaire de mots de passe comme Bitwarden ou 1Password
4. Consultez l’activité de connexion
- Paramètres > Espace Comptes > Mot de passe et sécurité > Lieux de connexion
- Vérifiez les appareils ou emplacements inconnus
- Déconnectez immédiatement les sessions suspectes
5. Ignorez les e-mails de réinitialisation non sollicités
Supprimez les demandes de réinitialisation de mot de passe que vous n’avez pas initiées. Effectuez toute modification de compte directement via l’application Instagram, jamais via les liens e-mail.
6. Restez vigilant face au phishing
Les informations divulguées permettent des tentatives d’arnaque très ciblées. Soyez méfiant vis-à-vis de :
- E-mails ou messages privés prétendant provenir d’Instagram/Meta
- Demandes de codes de vérification
- Messages mentionnant vos informations personnelles pour paraître légitimes
7. Envisagez une surveillance de crédit
Si des adresses partielles ont été exposées, envisagez de placer une alerte anti-fraude auprès des agences de crédit (Equifax, Experian, TransUnion).
Fait rapide à considérer
Ce n’est pas la première exposition de données chez Meta. L’entreprise a été condamnée à une amende de 265 millions d’euros en 2022 pour une fuite de données Facebook de 2021 affectant des centaines de millions d’utilisateurs. L’incident met en lumière les tensions persistantes entre la définition de « fuite » par les plateformes et l’évaluation réelle des risques pour les utilisateurs par les chercheurs en sécurité.
Meta semble distinguer entre un accès non autorisé aux systèmes et la collecte de données via des fonctionnalités légitimes mais abusées.
Les professionnels de la sécurité se concentrent sur le résultat : les informations des utilisateurs exposées circulent désormais sur les marchés criminels.
Du lundi au dimanche : 5:00am - 8:00pm (PT)
Laisser un commentaire