Un important incident de cybersécurité secoue une fois de plus l’écosystème des applications d’intelligence artificielle destinées au divertissement pour adultes. Selon 404 Media, la plateforme érotique SecretDesires.ai a laissé accessibles au public des conteneurs de stockage non protégés contenant près de deux millions d’images et de vidéos, dont une proportion significative représentait des femmes n’ayant jamais consenti à figurer dans des contenus sexuels générés par IA. Cette fuite offre un rare aperçu du fonctionnement réel de ces outils, mais surtout de la manière dont certains utilisateurs s’en servent pour fabriquer des images pornographiques non consenties à partir de photos ordinaires, souvent dénichées sur les réseaux sociaux.

Secret Desires se présente comme un service de robot conversationnel coquin, doublé d’un générateur d’images et de vidéos personnalisées. La plateforme permettait jusqu’à récemment de télécharger des photos de vraies personnes pour les intégrer à des scènes sexuelles créées par IA. D’après les informations examinées par 404 Media, les conteneurs exposés regroupaient près de 1,8 million de fichiers, dont environ 930 000 images marquées comme supprimées, 50 000 images destinées à la fonction de face swapping, ainsi que plus de 220 000 vidéos dans une catégorie nommée live photos. Les fichiers incluaient des portraits de femmes prises dans des environnements banals, des images provenant de profils sociaux, des selfies, des photos professionnelles, des clichés de remises de diplômes, voire des photos de finissants provenant d’annuaires scolaires.

Ce matériel laisse entrevoir un usage particulièrement problématique. Dans le conteneur faceswap, plusieurs noms de fichiers contenaient les prénoms et noms complets de femmes, témoignant de la provenance non anonyme des photos utilisées. Les images exposées montraient également des utilisatrices anonymes, des influenceuses, des célébrités, des actrices pornographiques ou encore des inconnues dont la présence numérique est minimale. Cette diversité de sources indique que des utilisateurs envoyaient les photos de collègues, d’ex-conjointes, de connaissances ou de femmes croisées dans la vie quotidienne, dans le but de fabriquer des vidéos sexuelles explicites. Les captures des générations vidéo présentes dans live photos confirmaient d’ailleurs que plusieurs visages importés se retrouvaient ensuite dans des séquences pornographiques très explicites.

Certains noms de fichiers dévoilaient même les intentions les plus problématiques de certains membres. 404 Media rapporte que plusieurs prompts contenaient des indications décrivant des adolescentes, malgré l’interdiction théorique d’un tel usage dans les conditions d’utilisation du service. Cette situation fait écho à des révélations antérieures concernant d’autres plateformes de compagnons virtuels, où des utilisateurs avaient créé des contenus sexualisés mettant en scène des mineurs ou des personnes non consentantes.

Sur le plan technique, l’exposition des données découle d’un usage inadéquat des services cloud de Microsoft Azure. SecretDesires.ai avait stocké les liens vers les images et vidéos dans des conteneurs Blob non sécurisés, accessibles par n’importe quel internaute capable d’en consulter les fichiers XML. L’entreprise mère, Playhouse Media, n’a pas répondu aux questions de 404 Media, notamment concernant la durée de l’exposition et les raisons d’une protection aussi faible pour des données aussi sensibles. Et moins d’une heure après la prise de contact, les fichiers ont été rendus inaccessibles, mais sans communication publique de la plateforme.

La fuite survient alors que Secret Desires avait officiellement retiré sa fonction de face swapping au printemps 2025, après plusieurs plaintes d’utilisateurs regrettant la disparition de cette option. Le reportage note d’ailleurs que cette fonction apparaissait encore dans les offres d’abonnement le 3 novembre, ce qui laisse croire que la désactivation du service n’a pas été menée de façon uniforme. Malgré ce retrait partiel, la plateforme continue de proposer des services de personnalisation sexuelle par IA, dont un service de clonage vocal permettant d’imiter des voix réelles à partir d’un simple enregistrement audio.

L’incident met en lumière un enjeu grandissant dans l’univers de l’IA générative: la facilité avec laquelle des outils grand public permettent de produire des hypertrucages pornographiques non consentis. Les travaux académiques des dernières années l’ont démontré à répétition, et la fuite de SecretDesires.ai constitue une preuve tangible de l’ampleur du phénomène. Ces contenus, impossibles à anticiper et difficiles à effacer pour les victimes, causent souvent des dommages durables, tant psychologiques que professionnels. Dans plusieurs cas documentés, les victimes témoignent d’une perte de sécurité personnelle, de harcèlement en ligne et d’une anxiété persistante liée à l’impossibilité de reprendre le contrôle sur leur image.

L’affaire relance inévitablement le débat sur la responsabilité des entreprises exploitant des services d’IA générative. SecretDesires.ai affirmait utiliser le chiffrement de bout en bout pour protéger les communications, et garantissait que les données étaient stockées sur des serveurs sécurisés. La fuite démontre que ces déclarations ne reflétaient pas la réalité de la gestion des données. Au-delà de la négligence technique, l’incident révèle la vulnérabilité structurelle d’un secteur où la priorité commerciale l’emporte souvent sur la sécurité et la protection des personnes représentées.

En rendant visible l’envers de ces applications, cette fuite offre un rappel brutal des dérives courantes de l’IA sexuelle. Elle montre comment des millions de photos, partagées innocemment ou présentes sur le web depuis des années, peuvent être détournées et réinsérées dans des scénarios pornographiques créés par des utilisateurs anonymes. Elle rappelle aussi que ces usages ne sont pas marginaux, mais bel et bien intégrés aux modèles économiques de certaines plateformes, dont les publicités invitent explicitement à transformer des collègues, des inconnues ou des célébrités en partenaires fictives. Pour les victimes, la découverte de ces contenus peut bouleverser leur vie personnelle et leur rapport au monde numérique.

Ce cas devrait, à terme, alimenter les discussions autour des politiques publiques encadrant la création et la diffusion de contenus générés par IA. Il soulève des questions sur le consentement, la responsabilité des plateformes, la régulation des usages sexuels de l’IA et l’accès des mineurs à des outils capables de générer des contenus illicites. Il met surtout en lumière le besoin urgent de normes et de pratiques de sécurité beaucoup plus rigoureuses dans un secteur en pleine expansion, où les conséquences humaines dépassent largement le simple domaine de l’innovation technologique.

Et pendant que les instances publiques tardent à intervenir, l’incident SecretDesires.ai agit comme une piqûre de rappel: tant que l’IA rendra aussi facile la production de contenus sexuels non consentis, la ligne entre fantasme numérique et violences réelles continuera de s’effacer dangereusement.

Source : 404 Media

+++

Du lundi au vendredi, Bruno Guglielminetti vous propose un regard sur l’essentiel de l’actualité numérique avec 120 secondes de Tech.

Ou encore…

Écoutez la plus récente édition de Mon Carnet,
le magazine hebdomadaire de l’actualité numérique.