Pendant tout le week-end des 10–11 janvier 2026, des utilisateurs d’Instagram ont reçu, sans l’avoir demandé, des e-mails de réinitialisation de mot de passe — au point de relancer le vieux réflexe : « On s’est fait pirater ? » Meta assure que non.
En effet, Instagram a déclaré avoir corrigé le problème qui, ces derniers jours, a provoqué l’envoi massif d’e-mails de réinitialisation de mot de passe à des utilisateurs n’ayant rien demandé. Dans une mise à jour publiée sur X, la plateforme assure que ses systèmes n’ont pas été compromis et que tout est désormais « sécurisé ».
Mais des acteurs de la cybersécurité, eux, pointent un possible lien avec des données d’utilisateurs qui circuleraient à nouveau.
Ce que Instagram affirme avoir « fixé »
We fixed an issue that let an external party request password reset emails for some people. There was no breach of our systems and your Instagram accounts are secure.
You can ignore those emails — sorry for any confusion.
— Instagram (@instagram) January 11, 2026
Instagram a déclaré sur X avoir corrigé un problème permettant à « une partie externe » de déclencher des demandes de réinitialisation pour « certaines personnes », tout en assurant qu’il n’y a eu aucune compromission de ses systèmes. En clair : des e-mails légitimes, mais déclenchés abusivement, et sans prise de contrôle automatique des comptes.
Plusieurs médias précisent que Meta recommande d’ignorer ces e-mails si vous n’êtes pas à l’origine de la demande, et rappelle qu’un e-mail de reset ne change rien tant que l’utilisateur n’agit pas.
La confusion vient d’un second récit, très partagé : Malwarebytes a affirmé que des informations liées à 17,5 millions de comptes étaient disponibles sur des places de marché clandestines, alimentant la peur d’un data breach.
Sauf que plusieurs analyses nuancent fortement :
- Des sites comme BleepingComputer parlent d’un bug permettant de « spammer » les resets, en parallèle de revendications autour de données « scrapées »/exfiltrées.
- Have I Been Pwned référence un lot de données « scrapées via API » posté en janvier 2026, et indique que cela semble distinct des demandes de reset qui ont explosé au même moment.
- Plusieurs articles évoquent une hypothèse récurrente : des données plus anciennes (souvent attribuées à une fuite/scraping 2024) peuvent servir à cibler des utilisateurs (phishing, SIM swapping), sans prouver que Instagram a été « re-piré » ce week-end.
Autrement dit : on peut avoir à la fois un abus du mécanisme de reset (bruyant, anxiogène) et la recirculation d’un dataset (dangereux, mais pas forcément nouveau ni lié au bug).
Pourquoi un « simple » spam de reset est déjà un vrai problème ?
Même sans accès aux comptes, ce type d’incident est un levier redoutable :
- Ingénierie sociale : l’e-mail de reset ressemble à une alerte « officielle », parfait pour pousser l’utilisateur à cliquer ailleurs (phishing)
- Fatigue de sécurité : recevoir 5 e-mails de suite incite à agir vite — et souvent mal
- Test à grande échelle : un acteur peut mesurer qui « mord », qui répond, qui a une hygiène numérique faible
Et si, en plus, des données (même anciennes) circulent — e-mails, numéros, adresses partielles — le cocktail devient plus exploitable, sans qu’un mot de passe ait fuité.
Faut-il changer son mot de passe ? Oui, mais pas de la manière que les attaquants espèrent
Si vous êtes inquiet, la bonne approche est la plus simple : ne cliquez pas sur l’e-mail. Faites plutôt ceci, depuis l’app ou le site officiel :
- Changez votre mot de passe directement dans Instagram (un mot de passe long, unique).
- Activez la 2FA, idéalement via une application d’authentification (mieux que SMS).
- Vérifiez l’activité de connexion et les appareils connectés.
- Si vous avez cliqué sur un lien douteux : changez aussi le mot de passe de votre boîte mail, car c’est souvent la vraie clé du compte.
Instagram et plusieurs médias insistent : un e-mail de reset n’est pas une preuve que votre compte a été pris — c’est parfois juste du bruit généré par un tiers.
