Une simple erreur de configuration a suffi \u00e0 faire voler en \u00e9clats la vie priv\u00e9e de millions d\u2019utilisateurs d\u2019IA. L\u2019app Chat & Ask AI, qui revendique plus de 50 millions d\u2019utilisateurs sur Android et iOS, a en effet expos\u00e9 les conversations de ses usagers sur Internet. Une base Firebase mal prot\u00e9g\u00e9e est \u00e0 l\u2019origine de la fuite. Il s\u2019agit d\u2019une n\u00e9gligence courante qui touche des centaines d\u2019applications.<\/p>\n
Un chercheur en cybers\u00e9curit\u00e9 ind\u00e9pendant a d\u00e9couvert une application mal configur\u00e9e sur le Play Store et l\u2019App Store. Revendiquant plus de 50 millions d\u2019utilisateurs et plus de 10 millions de t\u00e9l\u00e9chargements sur Android, l\u2019app Chat & Ask AI permet de poser des questions \u00e0 plusieurs mod\u00e8les d\u2019IA, dont ChatGPT, Claude, ou Gemini. D\u00e9velopp\u00e9e par la soci\u00e9t\u00e9 turque Codeway, l\u2019application est devenue populaire chez les utilisateurs qui souhaitent converser avec plusieurs IA dans une seule et m\u00eame interface.<\/p>\n
Comme le rapportent nos confr\u00e8res de 404 Media<\/a>, le chercheur a d\u00e9couvert que l\u2019application est li\u00e9e \u00e0 une base de donn\u00e9es Firebase mal configur\u00e9e. Pour rappel, Firebase est une plateforme de Google qui permet notamment aux sites web d\u2019h\u00e9berger des donn\u00e9es, de mettre en place un service d\u2019authentification, de d\u00e9ployer des fonctions cloud ou de profiter de Google Analytics for Firebase. Les r\u00e8gles de s\u00e9curit\u00e9 de l\u2019instance ont \u00e9t\u00e9 mal d\u00e9finies par les d\u00e9veloppeurs, ce qui permet \u00e0 n\u2019importe quel internaute d\u2019acc\u00e9der aux donn\u00e9es stock\u00e9es en ligne. N\u2019importe qui pouvait se faire passer pour un utilisateur connect\u00e9 et lire les donn\u00e9es stock\u00e9es sans devoir s\u2019authentifier en amont.<\/p>\n \u00ab\u00a0Une des erreurs de configuration les plus courantes avec Firebase consiste \u00e0 laisser les r\u00e8gles de s\u00e9curit\u00e9 en acc\u00e8s public, ce qui permet \u00e0 toute personne disposant de l\u2019URL du projet de lire, modifier ou supprimer des donn\u00e9es sans aucune authentification\u00a0\u00bb, expliquent les chercheurs de MalwareBytes, qui relaient la d\u00e9couverte.<\/p>\n \u00c0 lire aussi\u00a0: Google r\u00e9v\u00e8le qu\u2019un milliard de smartphones Android sont vuln\u00e9rables aux cyberattaques<\/a><\/p>\n 300 millions de messages expos\u00e9s par erreur <\/p>\n Un attaquant potentiel pouvait directement dialoguer avec la base de donn\u00e9es de l\u2019application. Cette base de donn\u00e9es comprend les historiques de chats, les horodatages, ou encore les param\u00e8tres du bot, comme le nom donn\u00e9 par l\u2019utilisateur au chatbot, la configuration choisie et le mod\u00e8le sp\u00e9cifique utilis\u00e9. Le chercheur \u00e0 l\u2019origine de la d\u00e9couverte estime que 300 millions de messages provenant de plus de 25 millions d\u2019utilisateurs ont \u00e9t\u00e9 expos\u00e9s sur Internet.<\/p>\n Les messages incluent des contenus tr\u00e8s sensibles, par exemple des demandes sur \u00ab\u00a0comment se suicider sans douleur\u00a0\u00bb, des r\u00e9dactions de lettres de suicide, des questions sur la fabrication de m\u00e9thamph\u00e9tamine ou encore sur le piratage d\u2019applications. Le chercheur n\u2019a pas tard\u00e9 \u00e0 pr\u00e9venir Codeway, le d\u00e9veloppeur de l\u2019application, de la situation. L\u2019entreprise turque a promptement corrig\u00e9 l\u2019erreur de configuration sur l\u2019ensemble de ses applications en l\u2019espace de quelques heures.<\/p>\n \u00c0 lire aussi\u00a0: 6 milliards d\u2019identifiants et de mots de passe pirat\u00e9s \u2013 une base massive de donn\u00e9es est apparue sur le dark web<\/a><\/p>\n Un probl\u00e8me de s\u00e9curit\u00e9 tr\u00e8s r\u00e9pandu <\/p>\n Malheureusement, le bug de configuration ne se limite pas \u00e0 une seule application. En fait, ce type de mauvaise configuration de Firebase est connu depuis des ann\u00e9es et reste tr\u00e8s r\u00e9pandu parmi les d\u00e9veloppeurs d\u2019appas. Pour mesurer l\u2019ampleur exact du probl\u00e8me, le chercheur a d\u00e9velopp\u00e9 un outil qui scanne automatiquement l\u2019App Store et le Play Store \u00e0 la recherche d\u2019autres applications concern\u00e9es.<\/p>\n Le verdict a de quoi faire peur aux internautes. Sur 200 applications iOS analys\u00e9es, 103 applications pr\u00e9sentaient la m\u00eame faille de s\u00e9curit\u00e9 li\u00e9e \u00e0 une instance mal configur\u00e9e. Des dizaines de millions de fichiers sont expos\u00e9s sur Internet, \u00e0 la merci des cybercriminels. Le chercheur ne donne pas de nombre d\u2019apps vuln\u00e9rables ni de pourcentage pour le Play Store.<\/p>\n Pour aider les utilisateurs \u00e0 \u00e9viter les apps vuln\u00e9rables, le chercheur a mis en ligne un site d\u00e9di\u00e9, intitul\u00e9 Firehound<\/a>. Ce site propose de voir quelles apps souffrent d\u2019une d\u00e9faillance de s\u00e9curit\u00e9 analogue. Lorsqu\u2019un d\u00e9veloppeur corrige le probl\u00e8me sur son serveur Firebase, il retire l\u2019app de la liste. Sur le site, les applications sont class\u00e9es en fonction des fichiers expos\u00e9s. Avant d\u2019installer une application m\u00e9connue, comme une app d\u2019IA, on vous recommande de faire un tour sur Firehound et de v\u00e9rifier si celle-ci n\u2019a pas \u00e9t\u00e9 \u00e9pingl\u00e9e.<\/p>\n \ud83d\udc49\ud83c\udffb Suivez l\u2019actualit\u00e9 tech en temps r\u00e9el\u00a0: ajoutez 01net \u00e0 vos sources sur Google<\/a>, et abonnez-vous \u00e0 notre canal WhatsApp<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"Une simple erreur de configuration a suffi \u00e0 faire voler en \u00e9clats la vie priv\u00e9e de millions d\u2019utilisateurs…\n","protected":false},"author":2,"featured_media":1077,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[70],"tags":[986,12,13,18,17,451,73,71,75,72,76,74],"class_list":{"0":"post-1076","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-sciences-et-technologies","8":"tag-application","9":"tag-be","10":"tag-be-fr","11":"tag-belgique","12":"tag-belgium","13":"tag-intelligence-artificielle","14":"tag-science","15":"tag-science-and-technology","16":"tag-sciences","17":"tag-sciences-et-technologies","18":"tag-technologies","19":"tag-technology"},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/be-fr\/wp-json\/wp\/v2\/posts\/1076","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/be-fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/be-fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/be-fr\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/be-fr\/wp-json\/wp\/v2\/comments?post=1076"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/be-fr\/wp-json\/wp\/v2\/posts\/1076\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/be-fr\/wp-json\/wp\/v2\/media\/1077"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/be-fr\/wp-json\/wp\/v2\/media?parent=1076"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/be-fr\/wp-json\/wp\/v2\/categories?post=1076"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/be-fr\/wp-json\/wp\/v2\/tags?post=1076"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}