Une application Android dédiée aux montages photo et vidéo dopés à l’intelligence artificielle a laissé en accès libre des millions de fichiers personnels. Téléchargée des centaines de milliers de fois via le Play Store, elle a exposé plus de 12 To de contenus privés.
Baptisée Video AI Art Generator & Maker, l'application a été téléchargée plus de 500 000 fois et affichait une note de 4,3 étoiles sur le Play Store. Par conséquent, celle-ni n'avait pas de quoi alerter ses utilisateurs. Pourtant, depuis son lancement en juin 2023, elle exposait l'intégralité des contenus privés confiés par ses clients. Des chercheurs de Cybernews ont mis au jour cette brèche massive : environ 12 To de données personnelles étaient accessibles librement sur internet, sans aucune authentification requise.
Play Store : une application d’IA a laissé des millions de fichiers en accès libre
Les chiffres donnent franchement le vertige. Les investigations de Cybernews ont révélé que 1,57 million de photos téléchargées par les utilisateurs et plus de 385 000 vidéos personnelles circulaient sans protection. À cela s'ajoutent 2,87 millions d'images créées par l'IA, autant de vidéos générées automatiquement, et plus de 386 000 fichiers audio. Au total, 8,27 millions de fichiers étaient stockés dans un espace cloud mal sécurisé.
L'origine du problème ? Un serveur Google Cloud Storage configuré de manière défaillante. N'importe qui pouvait consulter les contenus hébergés, transformant cet espace de stockage censé être privé en galerie publique. Les fichiers les plus anciens remontent à trois jours avant la mise en ligne officielle de l'application sur le Play Store, démontrant que la vulnérabilité existait depuis l'origine du projet.
Les chercheurs rappellent que ce type d’application conserve habituellement les fichiers d’origine en plus des versions retravaillées. Autrement dit, non seulement les créations générées par l’IA étaient accessibles, mais aussi les images et vidéos initialement importées par les utilisateurs.
Un éditeur déjà pointé du doigt pour des failles de sécurité
L’application est développée par Codeway Dijital Hizmetler Anonim Sirketi, société privée enregistrée en Turquie. Certaines de ses applications sont aussi publiées sous le nom de Deep Flow Software Services Fzco, entité basée aux Émirats arabes unis. Ensemble, leurs applications dépassent 10 millions de téléchargements. Contactée par Cybernews, l’entreprise a fini par sécuriser l’accès aux données, sans toutefois publier de déclaration officielle.
À vrai dire, ce n’est pas la première alerte concernant le groupe. Selon un chercheur indépendant, une autre application développée par Codeway, connue sous le nom de Chat & Ask AI, aurait déjà exposé environ 300 millions de messages associés à plus de 25 millions d’utilisateurs en raison d’un backend mal configuré.
À l’avenir, mieux vaut donc faire preuve d’une vigilance accrue avant de télécharger ou d’utiliser une application de cet éditeur. Parmi les milliers d’utilisateurs ayant laissé des avis positifs, beaucoup ignoraient sans doute que leurs contenus privés pouvaient se retrouver exposés et accessibles à des tiers malveillants.
Source : Cybernews
