Piratage Instagram : les données de 17,5 millions d'utilisateurs ont-elles vraiment été dérobées ?
Alors que des hackers affirment avoir mis la main sur les données de 17,5 millions de comptes Instagram, de nombreux utilisateurs reçoivent des demandes de réinitialisation de mot de passe. Alors, y a-t-il vraiment eu un piratage ?
Ce week-end du 10 janvier 2026, la rumeur d'un piratage massif d'Instagram, ayant abouti au vol et à la divulgation sur le Dark Web des données personnelles de 17,5 millions d'utilisateurs, a enflammé Internet. La source de cette panique ? Une annonce parue sur un célèbre forum de hackers et plusieurs mails de réinitialisation de mots de passe envoyés à des personnes qui n'en avaient pourtant pas fait la demande. Ce 11 janvier, Meta a finalement pris la parole, assurant avoir corrigé une faille de service tout en démentant tout piratage.
Cybercriminals stole the sensitive information of 17.5 million Instagram accounts, including usernames, physical addresses, phone numbers, email addresses, and more. pic.twitter.com/LXvjjQ5VXL
— Malwarebytes (@Malwarebytes) January 9, 2026
Piratage Instagram : une faille technique, mais pas de piratage en vue
Tout a commencé avec une alerte publiée par Malwarebytes, une entreprise spécialisée dans la cybersécurité, selon laquelle "des cybercriminels ont dérobé les informations sensibles de 17,5 millions de comptes Instagram, notamment les noms d'utilisateur, les adresses postales, les numéros de téléphone, les adresses électroniques, etc.". Le message est accompagné d'une capture d'écran d'un mail de réinitialisation de mot de passe envoyé à certains utilisateurs d'Instagram. Très vite, les esprits se sont emballés et la rumeur d'un piratage massif d'Instagram s'est répandue comme une traînée de poudre. Les invitations à changer d'urgence son mot de passe n'ont pas tardé à fleurir.
Mais Meta a rapidement démenti le piratage. Dans une publication officielle, l'entreprise a expliqué que les systèmes n'avaient subi aucune intrusion et que les comptes restaient sécurisés. Le groupe a indiqué avoir corrigé un dysfonctionnement technique qui permettait à une tierce partie de déclencher des e-mails de réinitialisation de mot de passe sans accéder réellement aux comptes ou aux mots de passe des utilisateurs. Aussi, pas d'inquiétude pour ceux qui auraient reçu un message, il suffit de l'ignorer.
We fixed an issue that let an external party request password reset emails for some people. There was no breach of our systems and your Instagram accounts are secure.
— Instagram (@instagram) January 11, 2026
You can ignore those emails sorry for any confusion.
Reste à comprendre comment ces tiers sont parvenus à obtenir les adresses mail des utilisateurs, qui est le seul élément nécessaire pour lancer ces demandes de réinitialisation. Sur ce point plusieurs pistes ont émergé. D'après l'auteur des publications sur le Dark Web, les données mises en vente proviendraient d'une fuite de l'API d'Instagram datant de 2024, que Meta n'a jamais authentifiée. Pour d'autres experts, il s'agirait d'une fuite plus ancienne, datant de 2022, mais là encore l'entreprise de Mark Zuckeberg n'a rien confirmé.
De son côté, le site open source Have I Been Pwned a indiqué que les données Instagram partagées sur le Dark Web sont déjà toutes référencées dans ses systèmes. Tout porte donc à croire que les données remontent à plusieurs années, notamment à la fuite de 2017 qui avait touché 6 millions de comptes, et ont été recyclées par les cybercriminels. Voilà qui est rassurant, même si cela n'élimine pas les risques de phishing pour autant !