Instagram : vos données personnelles s'étalent sur le Dark Web après une fuite massive

Le réveil est brutal pour des millions d'utilisateurs de la plateforme. Si vous recevez soudainement un code de sécurité par SMS ou par courriel sans l'avoir sollicité, la vigilance est de mise. Ce signal indique souvent qu'un individu malveillant tente de s'emparer de votre accès en exploitant des informations dérobées. Cette méthode de piratage par réinitialisation de compte s'appuie sur une base de données colossale qui circule actuellement dans les recoins les plus sombres du web.

Les dessous d'un piratage signé Solonik

Le 7 janvier 2026, un acteur cybercriminel connu sous le pseudonyme de Solonik a publié un dossier explosif sur le forum BreachForums. Ce document contient les données de 17,5 millions de profils Instagram, disponibles gratuitement au format JSON et TXT. Contrairement à une intrusion directe dans les serveurs de Meta, cette fuite semble résulter du détournement d'une interface de programmation applicative, une API, datant de 2024.

Les fichiers exposés ne se limitent pas à de simples pseudonymes. Ils regroupent les identités complètes, les adresses électroniques, les numéros de mobile ainsi que les identifiants uniques internes à l'application. On y trouve même des statistiques précises sur le nombre d'abonnés. Cette accumulation de détails permet aux escrocs de bâtir des attaques de phishing extrêmement crédibles. Sur les réseaux sociaux, notamment sur X, les témoignages de personnes recevant des notifications de connexion inhabituelles se multiplient depuis quarante-huit heures.

Pourquoi votre mot de passe est la cible prioritaire

La possession de votre numéro de téléphone change la donne pour les pirates. En connaissant vos identifiants, ils peuvent déclencher une procédure de récupération de compte. L'objectif est de vous manipuler pour obtenir le code de validation qui sera envoyé sur votre appareil. C'est une technique classique d'ingénierie sociale. Si vous cliquez sur un lien frauduleux ou si vous transmettez ce code à un tiers se faisant passer pour le support technique, vous perdez instantanément le contrôle de votre page.

Ce n'est pas la première fois que le géant californien peine à protéger ses interfaces contre le moissonnage automatisé de données, aussi appelé scraping. Pour rappel, Meta avait déjà été condamné par la Commission irlandaise pour la protection des données à une amende de 265 millions d'euros en 2022 suite à un incident similaire touchant Facebook. Ce nouvel épisode montre que les mesures de restriction imposées aux développeurs tiers comportent encore des failles exploitables par des groupes organisés.

Les réflexes immédiats pour verrouiller votre profil

Face à cette situation, l'inaction est votre pire ennemie. La mesure la plus efficace consiste à activer la validation en deux étapes dans vos réglages de confidentialité. Privilégiez impérativement une application de génération de codes comme Google Authenticator ou l'usage d'une clé physique. Fuyez la validation par SMS. Cette dernière est vulnérable au détournement de puce, une technique où le pirate transfère votre numéro sur sa propre carte SIM pour intercepter vos messages privés.

Vérifiez également l'historique des connexions dans l'onglet sécurité de votre compte Instagram pour repérer tout appareil inconnu. Si un message suspect arrive dans votre boîte de réception, ne cliquez sur aucun lien. Instagram ne communique jamais avec ses abonnés via la messagerie directe pour des questions de maintenance ou de sécurité. Pour rester informé des meilleures pratiques, vous pouvez consulter les recommandations officielles sur le portail de la CNIL ou suivre les alertes de Malwarebytes concernant les nouvelles menaces mobiles.