IA, bogues, violations de données, actualités

Une fuite dans une application de chat IA expose 300 millions de messages liés à 25 millions d'utilisateurs

par Pieter Arntz | 9 février 2026
Données d'IA de chat exposées

Un chercheur indépendant en sécurité a découvert une importante violation de données affectant Chat & Ask AI, l'une des applications de chat IA les plus populaires sur Google Play et l'App Store d'Apple, qui compte plus de 50 millions d'utilisateurs.

Le chercheur affirme avoir accédé à 300 millions de messages provenant de plus de 25 millions d'utilisateurs grâce à une base de données exposée. Ces messages auraient notamment porté sur des discussions relatives à des activités illégales et des demandes d'aide au suicide.

En coulisses, Chat & Ask AI est une application « wrapper » qui se connecte à divers modèles linguistiques de grande taille (LLM) d'autres entreprises, notamment ChatGPT d'OpenAI, Claude d'Anthropic et Gemini de Google. Les utilisateurs peuvent choisir le modèle avec lequel ils souhaitent interagir.

Les données exposées comprenaient des fichiers utilisateur contenant l'intégralité de leur historique de discussion, les modèles utilisés et d'autres paramètres. Mais elles révélaient également des données appartenant à des utilisateurs d'autres applications développées par Codeway, le développeur de Chat & Ask AI.

La vulnérabilité à l'origine de cette violation de données est une erreur de configuration bien connue et documentée de Firebase. Firebase est une plateforme BaaS (Backend-as-a-Service) basée sur le cloud fournie par Google qui aide les développeurs à créer, gérer et faire évoluer des applications mobiles et web.

Les chercheurs en sécurité font souvent référence à un ensemble d'erreurs évitables commises par les développeurs lors de la configuration des services Google Firebase, qui laissent les données backend, les bases de données et les compartiments de stockage accessibles au public sans authentification.

L'une des erreurs de configuration les plus courantes dans Firebase consiste à laisser les règles de sécurité définies sur « public ». Cela permet à toute personne disposant de l'URL du projet de lire, modifier ou supprimer des données sans authentification.

Cela a incité le chercheur à créer un outil qui analyse automatiquement les applications sur Google Play et l'App Store d'Apple à la recherche de cette vulnérabilité, avec des résultats étonnants. Selon certaines informations, le chercheur, nommé Harry, aurait découvert que 103 des 200 iOS analysées présentaient ce problème, exposant collectivement des dizaines de millions de fichiers stockés. 

Pour attirer l'attention sur ce problème, Harry a créé un site web où les utilisateurs peuvent voir les applications concernées. Les applications de Codeway n'y figurent plus, car Harry supprime les entrées dès que les développeurs confirment avoir corrigé le problème. Codeway aurait résolu le problème sur toutes ses applications dans les heures qui ont suivi la divulgation responsable.

Comment rester en sécurité

Outre vérifier si les applications que vous utilisez apparaissent dansle registre Harry's Firehound , il existe plusieurs moyens de mieux protéger votre vie privée lorsque vous utilisez des chatbots IA.

  • Utilisez des chatbots privés qui n'utilisent pas vos données pour entraîner le modèle.
  • Ne vous fiez pas aux chatbots pour prendre des décisions importantes dans votre vie. Ils n'ont ni expérience ni empathie.
  • N'utilisez pas votre véritable identité lorsque vous discutez de sujets sensibles.
  • Gardez les informations partagées impersonnelles. N'utilisez pas de noms réels et ne téléchargez pas de documents personnels.
  • Ne partagez pas vos conversations sauf en cas d'absolue nécessité. Dans certains cas, cela les rend consultables.
  • Si vous utilisez une IA développée par une entreprise de réseaux sociaux (Meta AI, Llama, Grok, Bard, Gemini, etc.), assurez-vous de ne pas être connecté à cette plateforme. Vos conversations pourraient être liées à votre compte sur les réseaux sociaux, qui contient probablement beaucoup d'informations personnelles.

N'oubliez jamais que les progrès de l'IA sont trop rapides pour que la sécurité et la confidentialité puissent être intégrées à la technologie. Et que même les meilleures IA continuent de halluciner.

Nous ne nous contentons pas de faire des rapports sur la protection de la vie privée, nous vous offrons la possibilité de l'utiliser.

Les risques liés Privacy ne devraient jamais dépasser le titre d'un article. Préservez votre vie privée en ligne en utilisant Malwarebytes Privacy VPN.

À propos de l'auteur

Pieter Arntz

Pieter Arntz

Chercheur en intelligence malveillante

A été un Microsoft MVP dans le domaine de la sécurité des consommateurs pendant 12 années consécutives. Parle quatre langues. Sente l'acajou et les livres reliés en cuir.

DERNIERS ARTICLES

AI
Une main se tend pour saisir un astérisque d'un mot de passe écrit.

Les mots de passe générés par l'IA constituent un risque pour la sécurité.

Février 19, 2026

Les mots de passe générés par l'IA sont « hautement prévisibles » et ne sont pas véritablement aléatoires, ce qui les rend plus faciles à pirater pour les cybercriminels.

Actualités
Logo Tenga

Le fabricant de produits intimes Tenga a divulgué les données de ses clients

Février 19, 2026

Une attaque de phishing visant un employé de Tenga pourrait avoir exposé les données de clients américains. Les clients doivent être vigilants face aux tentatives de phishing ayant pour thème le chantage sexuel.

Violations de données
Logo Betterment

La violation des données de Betterment pourrait être plus grave que prévu

Février 18, 2026

Cette violation semble désormais beaucoup plus grave. Les données divulguées comprennent des informations personnelles et financières détaillées que les hameçonneurs pourraient utiliser.

Icône des contributeurs

Les contributeurs

Icône du centre des menaces

Centre des menaces

Icône Podcasts

Podcast

Icône de glossaire

Glossaire

Icône d'escroquerie

Escroqueries