Une nouvelle alerte sécurité secoue Instagram et inquiète des millions d’utilisateurs. Selon plusieurs chercheurs en cybersécurité, les données sensibles de 17,5 millions de comptes auraient été mises en circulation sur le dark web. Ce sont des noms d’utilisateur, adresses mail, numéros de téléphone et parfois adresses postales qui sont dans la nature. Face à l’ampleur des informations concernées l’affaire soulève une grande question pour les utilisateurs : faut-il réellement s’inquiéter pour la sécurité de son compte Instagram ?
Début janvier, des chercheurs de MalwareBytes repèrent un vaste jeu de données partagé gratuitement sur BreachForums, une plateforme célèbre pour l’échange de bases de données piratées. Rapidement, l’authenticité des informations est confirmée. Dans la foulée, de nombreux internautes signalent avoir reçu des mails de réinitialisation de mot de passe Instagram qu’ils n’avaient pourtant jamais demandés. De quoi comprendre qu’il s’agit d’une intrusion dans les systèmes du réseau social.
Instagram veut rassurer
Retournement de situation, il semblerait qu’il y ait plus de peur que de mal. Dans une mise à jour publiée le 12 janvier, le groupe Meta affirme avoir identifié et corrigé une faille de sécurité qui permettait à un tiers de déclencher l’envoi de mails de réinitialisation de mot de passe. Selon l’entreprise, aucune donnée n’a été volée et aucun accès non autorisé à ses systèmes n’a eu lieu. Les messages reçus par les utilisateurs seraient donc la conséquence de cette vulnérabilité, et non d’un piratage direct des comptes.
Mais cette version est nuancée par d’autres experts. Le site Have I Been Pwned, spécialisé dans le recensement des fuites de données, précise que les informations circulant actuellement sur le dark web étaient déjà connues et référencées dans ses bases. D’après son fondateur Troy Hunt, il s’agirait de données plus anciennes, probablement issues d’une faille de l’API Instagram survenue en 2024, puis recyclées aujourd’hui par des cybercriminels pour semer la confusion.
We fixed an issue that let an external party request password reset emails for some people. There was no breach of our systems and your Instagram accounts are secure.
You can ignore those emails — sorry for any confusion.
— Instagram (@instagram) January 11, 2026
Que faire maintenant ?
Pour les utilisateurs, l’enjeu reste pourtant bien réel. Même si les données ne sont pas nouvelles, leur remise en circulation facilite les tentatives d’escroquerie. Des pirates peuvent se faire passer pour Instagram, envoyer de faux messages d’alerte crédibles ou tenter des attaques par phishing. Le risque n’est donc pas tant le piratage direct que les arnaques en tout genre, souvent très efficaces lorsque les informations personnelles sont exactes.
En pratique, les recommandations restent les mêmes, mais elles n’en sont pas moins essentielles : changer son mot de passe, éviter toute réutilisation de celui-ci sur d’autres services, et surtout activer l’authentification à deux facteurs. Des gestes simples qui, dans un contexte où les données circulent et se recyclent indéfiniment, restent la meilleure défense pour les utilisateurs.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
