Une fuite massive de données touche une application Android de retouche IA
Une application Android promettant des transformations cinématographiques de photos et vidéos grâce à l'intelligence artificielle a laissé une quantité considérable de contenus utilisateurs librement accessibles sur internet. Des chercheurs en cybersécurité ont mis au jour cette défaillance béante dans la protection des données personnelles.
Plus de 500 000 téléchargements, des millions de fichiers exposés
L'application en cause, Video AI Art Generator & Maker, comptabilise plus de 500 000 téléchargements sur le Google Play Store. La fuite provenait d'un bucket Google Cloud Storage mal configuré — autrement dit, un espace de stockage en ligne accessible à n'importe qui, sans la moindre authentification requise.
Toute personne sachant où chercher pouvait donc librement consulter l'ensemble des fichiers qui y étaient stockés. Une négligence de sécurité élémentaire aux conséquences potentiellement graves pour les utilisateurs concernés.
L'ampleur de la fuite : 8,27 millions de fichiers pour 12 téraoctets de données
Les chiffres donnent le vertige. Voici ce que contenait ce stockage non sécurisé :
- Plus de 1,5 million d'images uploadées par des utilisateurs
- Plus de 385 000 vidéos uploadées par des utilisateurs
- Environ 2,87 millions d'images générées par l'IA
- Environ 2,87 millions de vidéos générées par l'IA
- Plus de 386 000 fichiers audio générés par l'IA
Au total, ce sont quelque 8,27 millions de fichiers médias représentant plus de 12 téraoctets de données qui étaient exposés au grand jour. L'application avait été lancée à la mi-juin 2023, et le stockage semblait conserver l'intégralité des fichiers depuis ses débuts.
Une entreprise turque dans le viseur
La base de données exposée serait liée à Codeway Dijital Hizmetler Anonim Sirketi, une société privée immatriculée en Turquie. Curieusement, l'application ne figurait pas sur le site officiel du développeur, et le profil public de Codeway sur le Play Store ne référençait qu'un nombre restreint d'autres applications.
Ce n'est d'ailleurs pas un fait isolé pour cette entreprise. Une autre application associée à Codeway, Chat & Ask AI, avait déjà été épinglée par le passé pour avoir exposé un volume important de messages d'utilisateurs, à la suite d'une mauvaise configuration distincte de son infrastructure.
La faille colmatée après signalement
Après avoir contacté les développeurs de Video AI Art Generator & Maker, les chercheurs ont constaté que le bucket exposé avait été rapidement sécurisé. Une réaction tardive, mais qui a au moins permis de mettre fin à l'exposition des données.
Un symptôme d'un mal plus profond dans l'écosystème des applis IA
Cette affaire illustre une tendance préoccupante. « Cette fuite démontre que certaines applications IA privilégient la rapidité de mise sur le marché au détriment de mesures de sécurité essentielles, comme l'activation d'une authentification pour les espaces de stockage cloud contenant des données utilisateurs sensibles », ont souligné les chercheurs.
Plus inquiétant encore : leurs analyses révèlent que près de 72 % des centaines d'applications Google Play étudiées présentaient des vulnérabilités de sécurité similaires. Beaucoup stockent des uploads sensibles aux côtés de contenus générés par l'IA, et intègrent souvent directement dans leur code des informations critiques comme des clés API ou des mots de passe.
À l'heure où l'écosystème des applications IA connaît une expansion fulgurante, cette affaire soulève des questions fondamentales sur la manière dont les données des utilisateurs sont réellement protégées.
