Une fuite massive de données aurait exposé les informations personnelles de 17,5 millions d'utilisateurs d'Instagram, intensifiant les inquiétudes concernant la confidentialité en ligne et la sécurité des comptes sur la plateforme. La société de cybersécurité Malwarebytes affirme avoir identifié l'ensemble de données lors d'une analyse du dark web, révélant l'existance de fichiers qui semblent liées à une possible exposition de l'API Instagram remontant à 2024. Les informations divulguées, qui auraient été partagés sur BreachForums, comprennent des noms, des adresses e-mail, des numéros de téléphone et des adresses partielles, créant ainsi des risques importants de phishing, d'usurpation d'identité et de tentatives de prise de contrôle de comptes.
Une récente fuite massive de données aurait exposé les informations de 17,5 millions d'utilisateurs d'Instagram, soulevant de sérieuses préoccupations en matière de confidentialité et de sécurité. L'incident a été signalé pour la première fois par Malwarebytes, qui a établi un lien entre la fuite et un pirate informatique utilisant le nom « Solonik ». Selon le rapport, les données ont été publiées sur BreachForums le 7 janvier 2026, les rendant accessibles à d'autres cybercriminels.
Cybercriminals stole the sensitive information of 17.5 million Instagram accounts, including usernames, physical addresses, phone numbers, email addresses, and more. pic.twitter.com/LXvjjQ5VXL— Malwarebytes (@Malwarebytes) January 9, 2026
Dans un e-mail envoyé aux utilisateurs, Malwarebytes a déclaré avoir découvert la fuite lors d'une analyse de routine du dark web. Son enquête a révélé l'existence de fichiers JSON et TXT volumineux et bien structurés qui semblent provenir d'une possible exposition de l'API Instagram remontant à 2024. L'ampleur de l'ensemble de données est considérable, avec des enregistrements liés à 17,5 millions d'utilisateurs, ce qui suggère qu'il ne s'agit pas d'un incident mineur ou isolé.
Les données divulguées comprennent plusieurs types d'informations personnelles sensibles. Il s'agirait notamment des noms d'utilisateur et des noms complets Instagram, des adresses e-mail, des numéros de téléphone internationaux, d'adresses physiques partielles, d'identifiants utilisateur et d'autres informations relatives aux coordonnées. Bien que les mots de passe ne soient pas mentionnés parmi les données exposées, la quantité d'informations personnelles concernées est suffisante pour représenter un risque sérieux pour les utilisateurs touchés.
Malwarebytes a averti que les pirates sont susceptibles d'utiliser ces données de multiples façons. Les risques les plus courants comprennent les attaques par usurpation d'identité, les campagnes de phishing ciblées et les tentatives de collecte d'identifiants. Une préoccupation particulière concerne l'utilisation abusive potentielle du système de réinitialisation des mots de passe d'Instagram. En ayant accès aux adresses e-mail et aux numéros de téléphone, les pirates pourraient tenter de prendre le contrôle des comptes en déclenchant des demandes de réinitialisation de mot de passe et en incitant les utilisateurs à leur céder l'accès.
A la date du 10 janvier 2026, Meta, la société mère d'Instagram, n'a pas officiellement confirmé la violation. Aucune déclaration publique n'a été faite pour expliquer comment les données ont été exposées ni si les utilisateurs concernés seront directement informés.
En attendant d'avoir plus d'informations, les utilisateurs doivent rester vigilants. Ils sont invités à se méfier des e-mails ou SMS suspects prétendant provenir d'Instagram ou de Meta, en particulier ceux qui leur demandent de réinitialiser leur mot de passe ou de vérifier leur compte. Ces messages sont souvent conçus pour avoir l'air officiels, mais il s'agit en réalité de tentatives d'hameçonnage.
Pour rester en sécurité, il est fortement recommandé d'activer l'authentification à deux facteurs (2FA) à l'aide d'une application d'authentification ou d'un SMS, de changer le mot de passe de votre compte Instagram pour un mot de passe fort et unique, et d'éviter de cliquer sur des liens inconnus.
Cette récente fuite massive de données d'Instagram ravive les inquiétudes concernant les pratiques de collecte d'informations de la plateforme. Une étude publiée en 2021 par pCloud classait déjà Instagram comme l'application la plus invasive en matière de données personnelles, devançant même Facebook. Selon les conclusions de cette étude, Instagram collectait 79 % des données personnelles de ses utilisateurs, allant de la localisation aux informations financières, et partageait ces données avec des partenaires tiers.
