Ce week-end, l’alerte est venue de Malwarebytes : selon la société de sécurité, des cybercriminels auraient exploité une faille de sécurité sur Instagram pour s’emparer des données sensibles de quelque 17,5 millions d’utilisateurs. Le fichier ferait déjà l’objet d’une commercialisation sur le dark web. Dans le même temps, de nombreux utilisateurs ont vu leur boîte mail inondée de messages officiels d’Instagram les invitant, sans raison apparente, à réinitialiser leur mot de passe.
Adresses, mails, téléphones… 17,5 millions de comptes Instagram dans les mains des pirates
Après un moment de flottement, Meta a fini par réagir, mais la version de Menlo Park est sensiblement différente de celle des experts en sécurité.
Un "bug" déclenché par un tiers
Si vous faites partie de la cohorte d'utilisateurs ayant reçu ces invitations à changer de mot de passe, Instagram affirme que le problème est désormais « résolu ». Mais de quel problème s'agissait-il exactement ? C’est là que le bât blesse : le flou reste entier.
Interrogé sur les causes réelles de cet envoi massif, Meta n'a pas encore apporté de clarification technique. Tout ce que nous savons pour l'instant, c'est qu'une « partie externe » aurait déclenché ces envois de mails. Instagram se veut rassurant et indique que les utilisateurs peuvent ignorer ces messages en toute sécurité.
We fixed an issue that let an external party request password reset emails for some people. There was no breach of our systems and your Instagram accounts are secure.
— Instagram (@instagram) January 11, 2026
You can ignore those emails — sorry for any confusion.
Parole contre parole
Sur X, l'entreprise a tenu à préciser qu'aucune intrusion dans ses systèmes n'avait été détectée. Une déclaration qui entre en collision frontale avec les conclusions de Malwarebytes.
Selon la firme de cybersécurité, les informations de 17,5 millions de comptes — incluant les noms d'utilisateurs, adresses physiques, numéros de téléphone et emails — seraient bel et bien dans la nature. Entre le démenti formel du géant des réseaux sociaux et les affirmations alarmistes des chercheurs en sécurité, difficile pour l'utilisateur de savoir sur quel pied danser. Une chose est sûre : la prudence reste de mise, et l'activation de l'authentification à deux facteurs n'a jamais été aussi pertinente.
