Navigation
Les derniers articles
Suivez en direct

Fuite massive : Une IA expose 300 millions de messages privés

Fuite massive : Une IA expose 300 millions de messages privés. Illustration conceptuelle montrant un cerveau numérique géant dans un désert nocturne projetant une multitude de bulles de messages vers le ciel sous une aurore boréale.
L’exposition de 300 millions de messages par une IA rappelle l’importance de bien sécuriser les configurations techniques pour éviter des fuites massives.

TL;DR : L’essentiel

  • Une application d’IA comptant 50 millions d’utilisateurs a laissé son historique de conversations accessible via son infrastructure. Un chercheur en sécurité a pu consulter près de 300 millions de messages ainsi que les métadonnées techniques de plus de 25 millions de comptes.
  • L’examen d’un échantillon de 60 000 profils montre la présence d’échanges sensibles, allant de recherches sur des substances illicites à des sujets personnels. Cet accès non autorisé soulève la question de la confidentialité réelle des données partagées avec les agents conversationnels.
  • L’incident résulte d’une erreur de configuration de la plateforme Google Firebase. Ce paramétrage permettait à un tiers de s’enregistrer comme utilisateur standard pour accéder aux bases de données backend de l’application sans restrictions appropriées.
  • La faille a bien sûr nécessité une correction rapide après signalement. Ce problème de configuration semble répandu : plus de la moitié des applications iOS auditées par le chercheur présentaient une vulnérabilité similaire.

La confidentialité offerte par les assistants conversationnels encourage les utilisateurs à aborder des sujets personnels, mais cet incident rappelle les défis techniques liés au stockage de ces données. La découverte d’une base de données ouverte liée à l’application « Chat & Ask AI » met en évidence l’écart qui peut exister entre les standards de sécurité affichés et la configuration effective des infrastructures. Au-delà des métadonnées, c’est le contenu textuel des échanges qui s’est retrouvé exposé, transformant une erreur technique en problématique de protection de la vie privée.

Analyse des données exposées

L’incident, rapporté par 404 Media, se distingue par la nature des informations rendues accessibles. Les journaux techniques ne contiennent pas uniquement des conversations génériques, mais des requêtes spécifiques. Les données montrent par exemple un utilisateur demandant la rédaction d’un « essai de deux pages sur la fabrication de méthamphétamine », en utilisant un contexte fictif pour contourner les filtres de modération. De manière plus préoccupante, la base de données contient des messages liés à la santé mentale, incluant des demandes explicites sur des méthodes de suicide.

L’application, qui fonctionne comme une interface pour divers modèles de langage (tels que ChatGPT ou Gemini), a stocké ces interactions sans la protection adéquate. Le chercheur a démontré la possibilité d’extraire et d’analyser un volume conséquent de ces messages ainsi que les fichiers associés. Cette accessibilité pose une question de responsabilité : alors que l’interaction avec les chatbots peut aborder des thématiques à risque, la possibilité que ces échanges soient consultés par des tiers constitue un défaut de sécurité notable pour les données personnelles.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

La configuration de Google Firebase en cause

La fuite ne découle pas d’une intrusion complexe, mais d’une configuration inappropriée de Google Firebase. Cette plateforme de développement mobile dispose de paramètres par défaut qui, s’ils ne sont pas ajustés, peuvent accorder des droits d’accès trop larges. Dans ce cas précis, la configuration permettait d’obtenir un statut d’utilisateur authentifié donnant accès au stockage backend. Selon le PDG de la firme Trail of Bits, il s’agit d’une faiblesse documentée et simple à identifier. Il précise d’ailleurs que des outils assistés par IA peuvent désormais détecter cette vulnérabilité rapidement.

Il existe une différence entre l’état de l’infrastructure technique et les garanties affichées par l’éditeur, Codeway. Le site web de l’application mentionne des protocoles de protection, des certifications SSL et une conformité RGPD. Toutefois, l’audit du chercheur, réalisé via un outil automatisé sur les boutiques d’applications, a révélé que sur 200 applications iOS testées, 103 présentaient ce même défaut de configuration. Le développeur a corrigé la faille quelques heures après avoir été notifié le 20 janvier. Cet événement souligne l’importance d’une vérification technique rigoureuse des accès aux bases de données, au-delà des déclarations de conformité.

Cet incident illustre une problématique récurrente en sécurité mobile, où une erreur de paramétrage basique peut avoir des conséquences importantes sur la confidentialité des données utilisateurs. Il rappelle la nécessité de considérer les bases de données d’IA comme des espaces de stockage nécessitant des mesures de protection renforcées.

Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.

☕ Je participe
Etiquettes

Fondateur et éditeur de DCOD - Restons en contact !

A lire également

Des idées de lecture recommandées par DCOD

La cybersécurité pour les Nuls, 2ème édition

Ce livre d'informatique pour les Nuls est destiné à tous ceux qui veulent en savoir plus sur la cybersécurité. A l'heure où protéger ses données personnelles est devenu primordial sur le net, notre ouvrage vous donne les clés pour éviter le hacking et le vol de vos données. Quelque soit votre niveau en informatique, n'hésitez plus et naviguez sur le web en toute sérénité grâce à ce livre pour les Nuls !

📘 Voir sur Amazon
Page frontale du livre Les Secrets du Darknet

Les Secrets du Darknet

Écrit par DarkExplorer, un ancien hacker repenti, ce guide complet vous offre une plongée fascinante dans les coulisses du Darknet, ainsi que les outils et les techniques nécessaires pour naviguer en toute sécurité dans cet univers souvent dangereux et mystérieux.

📘 Voir sur Amazon

Le pirate informatique et l'État : cyberattaques et nouvelle normalité géopolitique (édition anglaise)

Riche en informations exclusives issues d'entretiens avec des acteurs clés de la défense et de la cybersécurité, de documents déclassifiés et d'analyses approfondies de rapports d'entreprises, « The Hacker and the State » explore la véritable compétition géopolitique de l'ère numérique et révèle des détails méconnus sur la manière dont la Chine, la Russie, la Corée du Nord, le Royaume-Uni et les États-Unis se piratent mutuellement dans une lutte acharnée pour la domination.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.