Une importante violation de données impliquant deux applications compagnons d’IA, Chattee Chat et GiMe Chat, a révélé plus de 43 millions de messages privés. L’incident, découvert par le groupe de recherche en cybersécurité Cybernews, a également fait couler plus de 600 000 images et vidéos, soulignant les vulnérabilités de sécurité présentes lorsque les utilisateurs confient des interactions personnelles à des plateformes d’IA. Le développeur derrière les applications est la société Imagime Interactive Limited, basée à Hong Kong.

Le 28 août 2025, des chercheurs de Cybernews ont identifié un serveur Kafka Broker exposé publiquement et exploité par Imagime Interactive Limited. Le serveur est resté sans aucune protection de sécurité, ce qui signifie qu’il n’avait aucune exigence d’authentification ni contrôle d’accès. Ce manque de sécurité permettait à quiconque d’accéder aux données qu’il contenait. Le serveur diffusait activement des conversations en temps réel entre les utilisateurs et leurs compagnons IA. Les données exposées comprenaient non seulement des messages texte, mais également des liens directs vers des photos personnelles, des vidéos et des images générées par l’IA échangées au sein des applications. Les chercheurs ont décrit certains contenus exposés comme « pratiquement dangereux pour le travail », ce qui indique la nature intime et sensible des informations divulguées.

La violation a touché un total de 400 000 utilisateurs sur les plateformes iOS et Android. Selon l’enquête, environ les deux tiers des données exposées provenaient d’utilisateurs iOS, le tiers restant provenant d’utilisateurs d’appareils Android. La majorité des personnes touchées par la fuite se trouvaient aux États-Unis.

You Might Also Like
LG autorise la suppression des raccourcis Copilot sur les téléviseurs intelligents
LG autorise la suppression des raccourcis Copilot sur les téléviseurs intelligents
Instagram teste le premier onglet d’accueil de Reels en Inde
Instagram teste le premier onglet d’accueil de Reels en Inde
WhatsApp teste les réponses threadées pour les discussions de groupe Android
WhatsApp teste les réponses threadées pour les discussions de groupe Android

Bien que les données divulguées n’incluent pas les noms complets ni les adresses e-mail, elles contenaient d’autres identifiants importants, notamment les adresses IP des utilisateurs et les identifiants uniques des appareils. Ces informations peuvent être croisées avec d’autres sources de données pour suivre et potentiellement identifier les individus. L’analyse a montré que les utilisateurs ont envoyé en moyenne 107 messages chacun à leurs partenaires IA. Cette activité a créé une empreinte numérique substantielle pour chaque utilisateur, contenant des pensées et des interactions personnelles qui pourraient être exploitées à des fins malveillantes telles que le vol d’identité, le harcèlement ciblé ou le chantage.

L’enquête a également mis en lumière des détails financiers. Les journaux d’achat inclus dans les données exposées ont révélé que certains utilisateurs dépensaient des sommes considérables pour les applications, les dépenses individuelles atteignant jusqu’à 18 000 $ pour interagir avec leurs compagnons IA. On estime que le développeur avait gagné plus d’un million de dollars de revenus grâce à ces applications avant la découverte de la violation de données. Dans sa politique de confidentialité, Imagime Interactive Limited a déclaré que la sécurité des utilisateurs était « d’une importance primordiale ». Cependant, l’absence totale de mesures d’authentification sur le serveur contredit directement cette affirmation, révélant un échec critique dans la mise en œuvre de mesures de sécurité de base pour les données sensibles des utilisateurs.

Après avoir découvert la vulnérabilité, Cybernews a rapidement signalé le problème à Imagime Interactive Limited. Le serveur non sécurisé a finalement été mis hors ligne à la mi-septembre. Avant sa suppression, le serveur était répertorié sur les moteurs de recherche publics IoT, qui sont des plateformes qui indexent les appareils connectés à Internet. Sa présence sur ces moteurs de recherche l’a rendu facilement détectable par les cybercriminels recherchant activement des systèmes vulnérables. On ne sait toujours pas si des acteurs malveillants ont accédé aux données compromises avant que le serveur ne soit sécurisé. Le potentiel de préjudice persiste, car toutes les conversations et images téléchargées pourraient toujours être utilisées pour faciliter des escroqueries de sextorsion, des attaques de phishing ou causer une atteinte importante à la réputation des utilisateurs concernés.

En réponse à cette violation, les experts en cybersécurité ont présenté plusieurs conseils aux utilisateurs pour protéger leurs données lorsqu’ils utilisent des applications d’IA.

  • Réfléchissez avant de partager : les utilisateurs doivent éviter d’envoyer du contenu personnel ou sensible via des applications de chat IA. Une fois les données partagées, le contrôle sur celles-ci est effectivement perdu.
  • Utilisez des outils d’IA réputés : il est recommandé de choisir des applications provenant de développeurs dotés de politiques de confidentialité transparentes et ayant fait leurs preuves en matière de mesures de sécurité strictes.
  • Supprimez vos données en ligne : le recours à un service de suppression de données peut vous aider à supprimer les informations personnelles des bases de données publiques. Bien qu’il ne s’agisse pas d’une solution complète, cela peut limiter les informations disponibles pour les fraudeurs.
  • Renforcez votre cybersécurité avec un logiciel antivirus puissant : l’installation d’un logiciel antivirus réputé fournit une couche de défense en bloquant les escroqueries, en détectant les intrusions et en alertant les utilisateurs des tentatives de phishing.
  • Protégez vos comptes avec un gestionnaire de mots de passe et une MFA : l’utilisation d’un gestionnaire de mots de passe pour des mots de passe forts et uniques et l’activation de l’authentification multifacteur (MFA) sont des étapes essentielles pour empêcher tout accès non autorisé au compte.

Cette fuite de données rappelle que les applications de chat IA stockent de grandes quantités de données hautement sensibles. Lorsque ces données sont compromises, cela peut entraîner de graves conséquences, notamment le chantage, l’usurpation d’identité et l’embarras public. L’incident souligne la nécessité de normes de sécurité plus strictes et d’une plus grande responsabilité au sein du secteur en pleine croissance des compagnons d’IA. Pour les utilisateurs, prendre conscience de la manière dont leurs données sont traitées et protégées est une première étape essentielle pour empêcher que leurs informations personnelles ne soient exposées en ligne.