Une faille de sécurité expose des millions de données dans une appli 500.000 fois téléchargée.
L’application Video AI Art Generator & Maker, téléchargée plus de 500.000 fois sur le Play Store de Google, présentait une faille de sécurité depuis son lancement en juin 2023, permettant d’accéder à plus de 12 téraoctets de données personnelles des utilisateurs. Cette faille a été signalée aux développeurs en décembre 2025 et a été corrigée le 3 février.
Une application ouverte. Des chercheurs du site spécialisé Cybernews ont révélé qu’une application dénommée Video AI Art Generator & Maker, téléchargée plus de 500 000 fois sur le Play Store de Google, présentait une grave faille de sécurité depuis son lancement en juin 2023.
Cette faille permettait d’accéder à plus de 12 téraoctets de données personnelles des utilisateurs. Signalée aux développeurs en décembre 2025, elle a été corrigée le 3 février.
Un problème de configuration
Comme son nom l’indique, l’application permettait de modifier des photos et des vidéos à l’aide d’intelligences artificielles (IA) génératives. Développée par Codeway, une société turque également associée aux Émirats arabes unis, elle était en lien avec l’application Chat & Ask AI, qui a déjà été téléchargée par plus de 25 millions d’utilisateurs et offrait un accès à 300 millions de messages échangés entre utilisateurs et IA.
À l’origine de ces failles se trouve un problème de configuration. Pour Video AI Art Generator & Maker, c’est le Google Cloud Storage qui était mal configuré, permettant à quiconque d’accéder aux fichiers stockés sans authentification. Au total, 2,87 millions d’images et autant de vidéos générées par IA, ainsi que 1,57 million d’images et 385 000 vidéos déposées par les utilisateurs, étaient librement accessibles.
Une négligence bientôt sanctionnée ?
Ces 8 millions de fichiers correspondent à l’ensemble des contenus téléchargés et générés sur l’application depuis son lancement en juin 2023 jusqu’à la découverte de la faille en décembre. En outre, l’application ne prévoyait aucune suppression des données des utilisateurs. Codeway ne les a pas informés de l’existence de la faille une fois révélée, ni de la résolution du problème.
Pour Cybernews, il ne s’agit donc pas d’une simple erreur, mais d’une négligence de l’entreprise. « Cette fuite de données montre comment certaines applications d’IA privilégient la rapidité de livraison des produits, au détriment de fonctionnalités de sécurité essentielles », ont souligné les chercheurs. De ce fait, Codeway pourrait avoir violé le RGPD, le règlement européen en matière de protection des données, et risquer d’encourir une amende conséquente.
