TL;DR : L’essentiel
- Une application d’IA comptant 50 millions d’utilisateurs a laissé son historique de conversations accessible via son infrastructure. Un chercheur en sécurité a pu consulter près de 300 millions de messages ainsi que les métadonnées techniques de plus de 25 millions de comptes.
- L’examen d’un échantillon de 60 000 profils montre la présence d’échanges sensibles, allant de recherches sur des substances illicites à des sujets personnels. Cet accès non autorisé soulève la question de la confidentialité réelle des données partagées avec les agents conversationnels.
- L’incident résulte d’une erreur de configuration de la plateforme Google Firebase. Ce paramétrage permettait à un tiers de s’enregistrer comme utilisateur standard pour accéder aux bases de données backend de l’application sans restrictions appropriées.
- La faille a bien sûr nécessité une correction rapide après signalement. Ce problème de configuration semble répandu : plus de la moitié des applications iOS auditées par le chercheur présentaient une vulnérabilité similaire.
La confidentialité offerte par les assistants conversationnels encourage les utilisateurs à aborder des sujets personnels, mais cet incident rappelle les défis techniques liés au stockage de ces données. La découverte d’une base de données ouverte liée à l’application « Chat & Ask AI » met en évidence l’écart qui peut exister entre les standards de sécurité affichés et la configuration effective des infrastructures. Au-delà des métadonnées, c’est le contenu textuel des échanges qui s’est retrouvé exposé, transformant une erreur technique en problématique de protection de la vie privée.
Analyse des données exposées
L’incident, rapporté par 404 Media, se distingue par la nature des informations rendues accessibles. Les journaux techniques ne contiennent pas uniquement des conversations génériques, mais des requêtes spécifiques. Les données montrent par exemple un utilisateur demandant la rédaction d’un « essai de deux pages sur la fabrication de méthamphétamine », en utilisant un contexte fictif pour contourner les filtres de modération. De manière plus préoccupante, la base de données contient des messages liés à la santé mentale, incluant des demandes explicites sur des méthodes de suicide.
L’application, qui fonctionne comme une interface pour divers modèles de langage (tels que ChatGPT ou Gemini), a stocké ces interactions sans la protection adéquate. Le chercheur a démontré la possibilité d’extraire et d’analyser un volume conséquent de ces messages ainsi que les fichiers associés. Cette accessibilité pose une question de responsabilité : alors que l’interaction avec les chatbots peut aborder des thématiques à risque, la possibilité que ces échanges soient consultés par des tiers constitue un défaut de sécurité notable pour les données personnelles.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
La configuration de Google Firebase en cause
La fuite ne découle pas d’une intrusion complexe, mais d’une configuration inappropriée de Google Firebase. Cette plateforme de développement mobile dispose de paramètres par défaut qui, s’ils ne sont pas ajustés, peuvent accorder des droits d’accès trop larges. Dans ce cas précis, la configuration permettait d’obtenir un statut d’utilisateur authentifié donnant accès au stockage backend. Selon le PDG de la firme Trail of Bits, il s’agit d’une faiblesse documentée et simple à identifier. Il précise d’ailleurs que des outils assistés par IA peuvent désormais détecter cette vulnérabilité rapidement.
Il existe une différence entre l’état de l’infrastructure technique et les garanties affichées par l’éditeur, Codeway. Le site web de l’application mentionne des protocoles de protection, des certifications SSL et une conformité RGPD. Toutefois, l’audit du chercheur, réalisé via un outil automatisé sur les boutiques d’applications, a révélé que sur 200 applications iOS testées, 103 présentaient ce même défaut de configuration. Le développeur a corrigé la faille quelques heures après avoir été notifié le 20 janvier. Cet événement souligne l’importance d’une vérification technique rigoureuse des accès aux bases de données, au-delà des déclarations de conformité.
Cet incident illustre une problématique récurrente en sécurité mobile, où une erreur de paramétrage basique peut avoir des conséquences importantes sur la confidentialité des données utilisateurs. Il rappelle la nécessité de considérer les bases de données d’IA comme des espaces de stockage nécessitant des mesures de protection renforcées.
Des serveurs, des API et du temps.
DCOD est bénévole, mais l'hébergement a un coût. Participez aux frais techniques.
