Le week-end du 10 janvier 2026 aura été marqué par la rumeur, largement relayée, d’un piratage massif d’Instagram. Source de cette panique ? Des mails de réinitialisation de mot de passe reçus par de nombreux utilisateurs. Instagram a réagi le 11 janvier, assurant avoir corrigé une faille de service, tout en démentant tout piratage.

L’emballement médiatique débute le vendredi 9 janvier 2026. En fin d’après‑midi, l’éditeur de logiciels de sécurité Malwarebytes affirme que « des cybercriminels ont dérobé les informations sensibles de 17,5 millions de comptes Instagram, notamment les noms d’utilisateur, les adresses postales, les numéros de téléphone, les adresses électroniques, etc. ».

Le message est accompagné d’une capture d’écran d’un mail de réinitialisation de mot de passe envoyé aux utilisateurs d’Instagram.​

Cette image est alors reprise partout, en France comme à l’international, mais le message est rapidement déformé : on parle d’un piratage massif d’Instagram et l’on invite les utilisateurs à changer au plus vite leurs mots de passe.​

Dans les faits, le problème est tout autre et Instagram a dû réagir rapidement pour éclaircir la situation, le 11 janvier : « Nos systèmes n’ont subi aucune intrusion et vos comptes Instagram sont sécurisés. Vous pouvez ignorer ces e‑mails. Veuillez nous excuser pour la gêne occasionnée. »

Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Twitter.
Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par Twitter avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)

En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.

Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.

Gérer mes choix

Pas d’intrusion, mais les mails sont légitimes

Concrètement, Meta a corrigé une faille dans son service Instagram, qui permettait à des tiers de générer des mails de réinitialisation de mot de passe sans être réellement détenteurs des comptes concernés.​

Si vous avez bien reçu un tel mail, cela ne signifie en rien que les personnes à l’origine de la manipulation aient pu « pirater » Instagram ou connaître votre mot de passe.

Reste à comprendre comment elles ont obtenu les adresses mail des utilisateurs, seul élément nécessaire pour lancer ces demandes de réinitialisation, et sur ce point plusieurs pistes émergent.​

Les données Instagram évoquées par Malwarebytes ont bien été publiées sur des forums du Dark Web, le 7 janvier, l’auteur affirmant qu’elles proviendraient d’une fuite de l’API d’Instagram datant de 2024, que Meta n’a jamais authentifiée.

Publication sur un forum divulguant des données Instagram présumées
Publication sur un forum divulguant des données Instagram présumées. // Source : Bleeping Computer

Les données partagées recensent bien 17 millions de comptes Instagram,​ même si certaines entrées ne contiennent qu’un identifiant Instagram et un nom d’utilisateur, sans plus d’informations personnelles.​

D’autres chercheurs en cybersécurité estiment que ces données pourraient en réalité provenir d’un incident d’API survenu en 2022. Un incident qui n’a lui non plus jamais été confirmé par Meta.

Un nouveau pot-pourri ?

À noter qu’Instagram a déjà été victime d’une fuite de données via son API en 2017. La vulnérabilité avait permis de récupérer et de vendre les informations personnelles de plusieurs millions de comptes.

Le « butin » des hackers pourrait donc n’être qu’une compilation de données déjà divulguées par le passé, l’envoi massif de mails de réinitialisation servant surtout à attirer l’attention et à faire monter la pression autour de ces fichiers.​

Conclusion : votre compte Instagram n’est pas plus en danger aujourd’hui qu’avant ce week‑end de panique.

Autant tirer profit de cette fausse alerte pour adopter quelques bons réflexes : changez régulièrement vos mots de passe et utilisez un gestionnaire pour générer et stocker des mots de passe complexes que vous n’aurez pas à mémoriser.

Enfin, si ce n’est pas déjà fait, activez l’authentification à deux facteurs sur votre compte Instagram, afin de renforcer votre sécurité.

une comparateur meilleur gestionnaire mdp numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !