Fuite de Données Instagram de 2024 Réapparaît, Exposant 17,5 Millions de Comptes

Selon un avis de sécurité de la société de cybersécurité Malwarebytes, les données liées à environ 17,5 millions d’utilisateurs d’Instagram circulent librement sur Breachforums après avoir refait surface au début de janvier 2026, grâce à un acteur malveillant utilisant le pseudonyme “Solonik”. Le rebondissement : ce n’était pas une nouvelle violation. Les données proviendraient d’une API Instagram mal configurée à la fin de 2024 qui avait permis un raclage à grande échelle des profils utilisateurs, collectant discrètement des informations structurées avant de disparaître—jusqu’à maintenant.

“Méfiez-vous des emails et des messages prétendant venir d’Instagram, car ils pourraient être envoyés par des hackers malveillants essayant de vous inciter à révéler votre mot de passe,” a expliqué Malwarebytes dans un email d’alerte distribué. “Si vous êtes inquiet, connectez-vous à votre compte Instagram et réinitialisez votre mot de passe avec un nouveau mot de passe fort et unique.”

Le nouvel ensemble de données reposté inclurait des noms d’utilisateur, des emails, des numéros de téléphone, des adresses physiques et des métadonnées de comptes, ce qui en fait un appât de choix pour les escrocs et les voleurs d’identité. Au 10 janvier, Meta n’avait pas prononcé de déclaration publique, tandis que les rapports d’emails de réinitialisation de mot de passe non sollicités ont explosé. Anciennes données, nouveaux dégâts—car Internet n’oublie jamais, et les cybercriminels non plus. Ce qui rend cette fuite particulièrement irritante, c’est la manière dont elle est utilisée.

Les attaquants ne se contentent pas d’envoyer des emails de phishing évidents ; ils déclenchent des messages de réinitialisation de mot de passe légitimes d’Instagram depuis le domaine de sécurité réel de la plateforme, comptant sur la confusion pour faire le sale boulot. Avec suffisamment de détails personnels en main, les acteurs malveillants peuvent passer du phishing au SIM swapping et à la fraude ciblée, en particulier pour les utilisateurs qui recyclent des mots de passe sur plusieurs sites.

Malwarebytes a signalé la faille lors d’une surveillance de routine du dark web, mettant en évidence comment les données recyclées peuvent encore alimenter des attaques très actuelles. Bien que l’exposition semble mondiale—with confirmed impacts in parts of Europe—the risk profile is universal: takeover de comptes, fraude financière, et un nouveau rappel que les données raclées vieillissent comme du lait, pas du vin. La solution est peu glamour mais efficace : des mots de passe plus forts, une authentification à deux facteurs, et une saine méfiance envers tout email “urgent” exigeant des clics.

FAQ 🔒

• S’agissait-il d’un nouveau piratage d’Instagram ?
  Non, les données proviennent apparemment d’un problème de raclage d’API de 2024 et n’ont refait surface publiquement qu’en janvier 2026.
• Quelles informations ont été exposées ?
  Les noms d’utilisateur, les emails, les numéros de téléphone, les adresses partielles ou complètes, et les métadonnées de compte étaient inclus.
• Pourquoi les utilisateurs reçoivent-ils de vrais emails de réinitialisation de mot de passe ?
  Les attaquants abusent du système de réinitialisation légitime d’Instagram pour que les tentatives de phishing semblent authentiques.
• Que doivent faire les utilisateurs affectés maintenant ?
  Changez immédiatement vos mots de passe, activez l’authentification à deux facteurs, et surveillez les comptes pour toute activité suspecte.