Une application d'IA générative laisse fuir des téraoctets de données personnelles
Des chercheurs en cybersécurité de la plateforme spécialisée Cybernews ont mis au jour une faille de sécurité monumentale au sein d'une application mobile populaire. Nommée Video AI Art Generator & Maker, cette application destinée à transformer photos et vidéos grâce à l'intelligence artificielle générative avait été téléchargée plus de 500 000 fois sur le Google Play Store. La vulnérabilité, présente depuis le lancement de l'app en juin 2023, offrait un accès non autorisé à plus de 12 téraoctets de données personnelles appartenant aux utilisateurs. Alertés en décembre 2025, les développeurs n'ont procédé à la correction définitive que le 3 février dernier.
Une configuration défaillante à l'origine de la brèche
L'application, développée par la société turque Codeway, également active aux Émirats arabes unis, reposait sur une infrastructure Google Cloud Storage gravement mal configurée. Cette erreur technique permettait à n'importe quel internaute d'accéder librement, sans aucune authentification requise, à l'ensemble des fichiers stockés. Le bilan est lourd : 2,87 millions d'images et autant de vidéos générées par l'IA étaient exposées, mais surtout, 1,57 million d'images et 385 000 vidéos originales déposées directement par les utilisateurs se trouvaient en libre accès.
Cette négligence n'est malheureusement pas un cas isolé pour Codeway. L'entreprise est déjà à l'origine de Chat & Ask AI, une autre application téléchargée par plus de 25 millions d'utilisateurs, qui avait elle aussi exposé près de 300 millions de messages privés échangés avec une intelligence artificielle.
Une négligence systémique et ses potentielles conséquences légales
Les 8 millions de fichiers librement accessibles représentaient la totalité du contenu téléchargé et généré sur la plateforme entre son lancement en juin 2023 et la découverte de la faille en décembre 2025. L'enquête de Cybernews révèle un problème plus profond qu'une simple erreur technique : une négligence systémique en matière de protection des données. L'application ne prévoyait aucun mécanisme de suppression automatique des données des utilisateurs. Pire, Codeway n'a informé aucun de ses utilisateurs de l'existence de cette faille après sa découverte, ni de sa résolution ultérieure.
Pour les chercheurs, il ne s'agit pas d'un accident mais d'un choix délibéré. « Cette fuite de données illustre parfaitement comment certaines applications d'IA privilégient la rapidité de mise sur le marché au détriment des fonctionnalités de sécurité les plus élémentaires », ont-ils déclaré. Cette pratique pourrait constituer une violation flagrante du Règlement Général sur la Protection des Données (RGPD). En conséquence, la société Codeway s'expose à des poursuites et à une amende financière potentiellement très lourde de la part des autorités européennes de régulation.
