L’emballement médiatique débute le vendredi 9 janvier 2026. En fin d’après‑midi, l’éditeur de logiciels de sécurité Malwarebytes affirme que « des cybercriminels ont dérobé les informations sensibles de 17,5 millions de comptes Instagram, notamment les noms d’utilisateur, les adresses postales, les numéros de téléphone, les adresses électroniques, etc. ».

Le message est accompagné d’une capture d’écran d’un mail de réinitialisation de mot de passe envoyé aux utilisateurs d’Instagram.​

Cette image est alors reprise partout, en France comme à l’international, mais le message est rapidement déformé : on parle d’un piratage massif d’Instagram et l’on invite les utilisateurs à changer au plus vite leurs mots de passe.​

Dans les faits, le problème est tout autre et Instagram a dû réagir rapidement pour éclaircir la situation, le 11 janvier : « Nos systèmes n’ont subi aucune intrusion et vos comptes Instagram sont sécurisés. Vous pouvez ignorer ces e‑mails. Veuillez nous excuser pour la gêne occasionnée. »

Pas d’intrusion, mais les mails sont légitimes

Concrètement, Meta a corrigé une faille dans son service Instagram, qui permettait à des tiers de générer des mails de réinitialisation de mot de passe sans être réellement détenteurs des comptes concernés.​

Si vous avez bien reçu un tel mail, cela ne signifie en rien que les personnes à l’origine de la manipulation aient pu « pirater » Instagram ou connaître votre mot de passe.

Reste à comprendre comment elles ont obtenu les adresses mail des utilisateurs, seul élément nécessaire pour lancer ces demandes de réinitialisation, et sur ce point plusieurs pistes émergent.​

Les données Instagram évoquées par Malwarebytes ont bien été publiées sur des forums du Dark Web, le 7 janvier, l’auteur affirmant qu’elles proviendraient d’une fuite de l’API d’Instagram datant de 2024, que Meta n’a jamais authentifiée.

Publication sur un forum divulguant des données Instagram présumées. // Source : Bleeping Computer

Les données partagées recensent bien 17 millions de comptes Instagram,​ même si certaines entrées ne contiennent qu’un identifiant Instagram et un nom d’utilisateur, sans plus d’informations personnelles.​

D’autres chercheurs en cybersécurité estiment que ces données pourraient en réalité provenir d’un incident d’API survenu en 2022. Un incident qui n’a lui non plus jamais été confirmé par Meta.

Un nouveau pot-pourri ?

À noter qu’Instagram a déjà été victime d’une fuite de données via son API en 2017. La vulnérabilité avait permis de récupérer et de vendre les informations personnelles de plusieurs millions de comptes.​

Le « butin » des hackers pourrait donc n’être qu’une compilation de données déjà divulguées par le passé, l’envoi massif de mails de réinitialisation servant surtout à attirer l’attention et à faire monter la pression autour de ces fichiers.​

Conclusion : votre compte Instagram n’est pas plus en danger aujourd’hui qu’avant ce week‑end de panique.

Autant tirer profit de cette fausse alerte pour adopter quelques bons réflexes : changez régulièrement vos mots de passe et utilisez un gestionnaire pour générer et stocker des mots de passe complexes que vous n’aurez pas à mémoriser.​

Enfin, si ce n’est pas déjà fait, activez l’authentification à deux facteurs sur votre compte Instagram, afin de renforcer votre sécurité.