Netcrook Logo
👤 AUDITWOLF
🗓️ 10 Jan 2026  

À l’intérieur de la fuite de 17,5 millions d’utilisateurs Instagram : comment une faille silencieuse de l’API a alimenté une ruée vers l’or des données

Une vulnérabilité majeure de l’API a exposé des millions d’utilisateurs d’Instagram, les cybercriminels exploitant désormais ces données pour des attaques ciblées.

Tout a commencé par un message énigmatique sur un forum du dark web : un acteur malveillant se faisant appeler “Solonik” proposait pas moins de 17,5 millions de comptes Instagram, chacun rempli de détails personnels. En quelques heures, des chercheurs en cybersécurité ont confirmé que la fuite était réelle - et les conséquences pourraient être dévastatrices pour les utilisateurs du monde entier.

Anatomie d’une fuite massive

Contrairement à la plupart des piratages qui font la une, cette brèche n’a pas impliqué de pénétration dans les serveurs centraux d’Instagram. Les attaquants ont plutôt exploité une faiblesse dans l’API de la plateforme - l’interface logicielle qui permet aux applications et services de communiquer avec les systèmes d’Instagram. En contournant les protections de sécurité habituelles, ils ont pu automatiser les requêtes et récolter discrètement les données des utilisateurs à grande échelle tout au long de la fin 2024.

Les données, désormais en circulation sur les marchés noirs les plus notoires, sont particulièrement précieuses pour les cybercriminels. Contrairement à de simples listes de pseudos, ce lot contient noms complets, adresses email vérifiées, numéros de téléphone, identifiants utilisateurs et même des informations de localisation partielles. Des captures d’écran du message sur le forum révèlent un jeu de données propre et structuré - facilitant la création de profils convaincants pour l’ingénierie sociale.

Du data dump à l’exploitation active

Quelques jours après la fuite, des utilisateurs d’Instagram ont commencé à signaler une vague de notifications suspectes de réinitialisation de mot de passe et de tentatives de phishing. Bien que les mots de passe n’aient pas été exposés, la combinaison d’emails et de numéros de téléphone ouvre la porte au SIM swapping - une technique où les criminels détournent votre numéro de téléphone pour intercepter les codes de connexion - et à des escroqueries plus sophistiquées. En se faisant passer pour le support Instagram ou en utilisant des détails personnels issus de la fuite, les attaquants peuvent tromper les utilisateurs pour obtenir des identifiants sensibles ou des codes d’authentification à deux facteurs (MFA).

Les experts estiment que cette brèche met en lumière une faille critique dans la sécurité d’Instagram : un contrôle insuffisant du taux de requêtes et des paramètres de confidentialité sur son API. Le scraping automatisé est passé inaperçu pendant des mois, soulevant des questions sur la surveillance de Meta et les risques plus larges liés à l’agrégation de données via des interfaces publiques.

Que doivent faire les utilisateurs ?

Les professionnels de la sécurité recommandent à tous les utilisateurs d’Instagram d’activer l’authentification à deux facteurs via une application d’authentification (et non par SMS), de rester vigilants face aux emails de réinitialisation de mot de passe non sollicités et de surveiller toute activité inhabituelle sur leurs comptes. Bien que Meta n’ait pas encore publié de réponse officielle, l’ampleur et la sophistication de cette fuite doivent servir d’alerte pour les utilisateurs comme pour l’ensemble du secteur technologique.

Réflexions : une fuite qui va au-delà des mots de passe

Cet incident révèle une vérité glaçante : même sans mots de passe, l’agrégation de données publiques et semi-publiques peut être exploitée à grande échelle. À mesure que les réseaux sociaux deviennent centraux dans nos identités, les conséquences de telles fuites ne feront que croître. Pour l’instant, la vigilance et l’adoption de meilleures habitudes de sécurité restent la meilleure défense face à la montée de la criminalité basée sur les données.

WIKICROOK

  • API : Une API est un ensemble de règles permettant à des applications logicielles de communiquer, offrant aux développeurs l’accès à des services comme des modèles d’IA via Internet.
  • SIM Swapping : Le SIM swapping est une arnaque où des criminels dupent les opérateurs téléphoniques pour transférer votre numéro sur leur appareil, leur permettant d’accéder à vos appels et messages.
  • Phishing : Le phishing est un cybercrime où des attaquants envoient de faux messages pour inciter les utilisateurs à divulguer des données sensibles ou à cliquer sur des liens malveillants.
  • Rate : Le taux (rate) est le nombre de requêtes autorisées dans une période donnée. La limitation du taux aide à prévenir les abus, les attaques et la surcharge des systèmes en cybersécurité.
  • Ingénierie sociale : L’ingénierie sociale est l’utilisation de la tromperie par des hackers pour inciter des personnes à révéler des informations confidentielles ou à fournir un accès non autorisé à des systèmes.
Instagram Leak API Vulnerability Cybercrime
AUDITWOLF AUDITWOLF
Cyber Audit Commander
← Back to news