Une simple erreur de configuration a suffi à faire voler en éclats la vie privée de millions d’utilisateurs d’IA. L’app Chat & Ask AI, qui revendique plus de 50 millions d’utilisateurs sur Android et iOS, a en effet exposé les conversations de ses usagers sur Internet. Une base Firebase mal protégée est à l’origine de la fuite. Il s’agit d’une négligence courante qui touche des centaines d’applications.
Un chercheur en cybersécurité indépendant a découvert une application mal configurée sur le Play Store et l’App Store. Revendiquant plus de 50 millions d’utilisateurs et plus de 10 millions de téléchargements sur Android, l’app Chat & Ask AI permet de poser des questions à plusieurs modèles d’IA, dont ChatGPT, Claude, ou Gemini. Développée par la société turque Codeway, l’application est devenue populaire chez les utilisateurs qui souhaitent converser avec plusieurs IA dans une seule et même interface.
Comme le rapportent nos confrères de 404 Media, le chercheur a découvert que l’application est liée à une base de données Firebase mal configurée. Pour rappel, Firebase est une plateforme de Google qui permet notamment aux sites web d’héberger des données, de mettre en place un service d’authentification, de déployer des fonctions cloud ou de profiter de Google Analytics for Firebase. Les règles de sécurité de l’instance ont été mal définies par les développeurs, ce qui permet à n’importe quel internaute d’accéder aux données stockées en ligne. N’importe qui pouvait se faire passer pour un utilisateur connecté et lire les données stockées sans devoir s’authentifier en amont.
« Une des erreurs de configuration les plus courantes avec Firebase consiste à laisser les règles de sécurité en accès public, ce qui permet à toute personne disposant de l’URL du projet de lire, modifier ou supprimer des données sans aucune authentification », expliquent les chercheurs de MalwareBytes, qui relaient la découverte.
À lire aussi : Google révèle qu’un milliard de smartphones Android sont vulnérables aux cyberattaques
300 millions de messages exposés par erreur
Un attaquant potentiel pouvait directement dialoguer avec la base de données de l’application. Cette base de données comprend les historiques de chats, les horodatages, ou encore les paramètres du bot, comme le nom donné par l’utilisateur au chatbot, la configuration choisie et le modèle spécifique utilisé. Le chercheur à l’origine de la découverte estime que 300 millions de messages provenant de plus de 25 millions d’utilisateurs ont été exposés sur Internet.
Les messages incluent des contenus très sensibles, par exemple des demandes sur « comment se suicider sans douleur », des rédactions de lettres de suicide, des questions sur la fabrication de méthamphétamine ou encore sur le piratage d’applications. Le chercheur n’a pas tardé à prévenir Codeway, le développeur de l’application, de la situation. L’entreprise turque a promptement corrigé l’erreur de configuration sur l’ensemble de ses applications en l’espace de quelques heures.
À lire aussi : 6 milliards d’identifiants et de mots de passe piratés – une base massive de données est apparue sur le dark web
Un problème de sécurité très répandu
Malheureusement, le bug de configuration ne se limite pas à une seule application. En fait, ce type de mauvaise configuration de Firebase est connu depuis des années et reste très répandu parmi les développeurs d’appas. Pour mesurer l’ampleur exact du problème, le chercheur a développé un outil qui scanne automatiquement l’App Store et le Play Store à la recherche d’autres applications concernées.
Le verdict a de quoi faire peur aux internautes. Sur 200 applications iOS analysées, 103 applications présentaient la même faille de sécurité liée à une instance mal configurée. Des dizaines de millions de fichiers sont exposés sur Internet, à la merci des cybercriminels. Le chercheur ne donne pas de nombre d’apps vulnérables ni de pourcentage pour le Play Store.
Pour aider les utilisateurs à éviter les apps vulnérables, le chercheur a mis en ligne un site dédié, intitulé Firehound. Ce site propose de voir quelles apps souffrent d’une défaillance de sécurité analogue. Lorsqu’un développeur corrige le problème sur son serveur Firebase, il retire l’app de la liste. Sur le site, les applications sont classées en fonction des fichiers exposés. Avant d’installer une application méconnue, comme une app d’IA, on vous recommande de faire un tour sur Firehound et de vérifier si celle-ci n’a pas été épinglée.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.