Une application de discussion basée sur l’intelligence artificielle, parmi les plus populaires sur les boutiques Google Play et Apple App Store, a laissé exposées des centaines de millions de conversations privées de ses utilisateurs. L’incident concerne Chat & Ask AI, un service revendiquant plus de 50 millions d’utilisateurs, selon une enquête publiée par le journaliste Emanuel Maiberg le 29 janvier 2026 sur le site 404 Media.

La fuite a été découverte par un chercheur indépendant en cybersécurité connu sous le pseudonyme de Harry. Selon ses analyses, une mauvaise configuration de la plateforme Google Firebase a rendu accessibles environ 300 millions de messages provenant de plus de 25 millions de comptes. Ces données comprenaient l’historique complet des échanges avec le robot conversationnel, les horodatages, les paramètres choisis par les utilisateurs et le modèle d’IA utilisé.

Parmi ces conversations figuraient des échanges particulièrement sensibles, notamment liés à la détresse psychologique ou à des activités criminelles. Le chercheur et 404 Media soulignent que ce type de contenu illustre à quel point les utilisateurs confient des informations intimes et parfois critiques aux systèmes d’IA conversationnelle, souvent sans mesurer les risques associés à la conservation et à la protection de ces données.

Chat & Ask AI fonctionne comme une interface regroupant plusieurs grands modèles de langage développés par des entreprises tierces, notamment ChatGPT d’OpenAI, Claude d’Anthropic et Gemini de Google. L’application est développée par Codeway, une entreprise turque qui affirme employer plus de 300 personnes entre Istanbul et Barcelone et dont les applications totalisent des millions de téléchargements.

Contactée par le chercheur le 20 janvier 2026, Codeway a corrigé la vulnérabilité en quelques heures, tant pour Chat & Ask AI que pour d’autres applications du même éditeur. Sur son site, l’entreprise affirme appliquer des standards élevés de sécurité et de conformité, incluant le respect du RGPD et des certifications ISO. Elle n’a toutefois pas répondu aux demandes de commentaires de 404 Media au moment de la publication.

Le problème à l’origine de cette fuite est loin d’être inédit. Les mauvaises configurations de Google Firebase sont documentées depuis plusieurs années dans la communauté de la cybersécurité. Harry indique avoir développé un outil automatisé capable de repérer ce type de faille dans les applications mobiles. Sur un échantillon de 200 applications iOS analysées, plus de la moitié présentaient des vulnérabilités similaires, exposant au total des dizaines de millions de fichiers.

Pour Dan Guido, directeur général de la firme de cybersécurité Trail of Bits, cette faiblesse est bien connue et relativement simple à détecter. Il rappelle que l’automatisation et l’usage d’outils d’IA rendent désormais ce type d’audit encore plus rapide, ce qui renforce l’argument selon lequel ces erreurs de configuration sont évitables.

Au-delà du cas précis de Chat & Ask AI, cette affaire relance le débat sur la protection des données dans les applications d’IA grand public. Elle met en lumière un paradoxe persistant, des outils toujours plus utilisés pour des échanges personnels et sensibles, mais des pratiques de sécurité qui, dans certains cas, peinent à suivre le rythme de leur adoption massive.

Source : 404 Media

******

Du lundi au vendredi, Bruno Guglielminetti vous propose un regard sur l’essentiel de l’actualité numérique avec 120 secondes de Tech.

Ou encore…

Écoutez la plus récente édition de Mon Carnet,
le magazine hebdomadaire de l’actualité numérique.