La sphère de la cybersécurité est en émoi suite aux révélations fracassantes des analystes de Cybernews concernant une application de création visuelle extrêmement populaire. Baptisé « Video AI Art Generator & Maker », ce programme disponible sur la plateforme officielle de Google depuis l'été 2023 cachait une vulnérabilité béante, transformant le stockage privé de ses utilisateurs en un véritable buffet à volonté pour quiconque savait où chercher.

Avec plus d'un demi-million d'installations au compteur, l'ampleur du désastre est vertigineuse : ce sont plus de douze téraoctets de contenus personnels qui se sont retrouvés exposés à la vue de tous, sans qu'aucune barrière de sécurité ni même un simple mot de passe ne viennent entraver l'accès à ces fichiers. Cette fuite massive, détectée en fin d'année 2025, n'a été colmatée que très récemment, laissant planer un doute sérieux sur l'intégrité des données de millions de personnes durant de longs mois.

Le cœur du problème réside dans une erreur de configuration grossière touchant les services de stockage en nuage utilisés par l'application. En négligeant de paramétrer correctement les protocoles d'authentification sur Google Cloud Storage, les développeurs ont laissé la porte grande ouverte sur une archive colossale regroupant plus de huit millions de documents. Dans le détail, les curieux pouvaient consulter plus d'un million et demi de photographies originales et près de quatre cent mille vidéos personnelles importées par les usagers pour être transformées par l'intelligence artificielle. À ce stock déjà conséquent s'ajoutaient les millions de créations générées par l'algorithme, l'application ayant la fâcheuse habitude de conserver chaque version d'un projet sans jamais procéder à la moindre suppression. On espère vivement que les victimes de cette négligence n'auront pas à subir les conséquences d'une telle exposition de leur intimité numérique sur le long terme.

Derrière cet outil se cache la société Codeway, une entreprise dont les attaches oscillent entre la Turquie et les Émirats arabes unis, et qui semble coutumière des failles de sécurité majeures. Ce n'est en effet pas le premier coup d'essai pour ce studio, déjà épinglé pour une autre application de dialogue par intelligence artificielle ayant attiré plus de vingt-cinq millions de curieux. Dans ce précédent dossier, ce ne sont pas moins de trois cents millions de messages privés qui avaient été siphonnés suite à des lacunes techniques similaires. Cette récidive suggère une culture d'entreprise privilégiant la croissance fulgurante et la mise sur le marché rapide au détriment de la protection la plus élémentaire des utilisateurs. Nul doute que cette approche consistant à considérer la sécurité comme une option facultative finira par attirer l'attention des régulateurs internationaux de manière beaucoup plus musclée.

Au-delà de la simple erreur technique, c'est l'attitude méprisante du développeur face à ses obligations légales qui choque aujourd'hui les observateurs. Bien que la vulnérabilité ait été signalée dès le mois de décembre, la sécurisation effective n'est intervenue qu'en février, et surtout, aucun message d'alerte n'a été envoyé aux principaux concernés. En vertu du Règlement général sur la protection des données (RGPD), toute entreprise opérant sur le sol européen est pourtant tenue d'informer ses clients et les autorités de contrôle en cas de compromission majeure de fichiers personnels. En s'enfermant dans un mutisme total, Codeway s'expose désormais à des sanctions financières qui pourraient s'avérer extrêmement lourdes. On peut légitimement se demander si de telles pratiques ne devraient pas conduire à un bannissement définitif de ces acteurs peu scrupuleux des boutiques d'applications officielles.

Cette affaire met en lumière les zones d'ombre de l'industrie florissante de l'IA générative sur mobile, où la course à l'innovation semble occulter les principes de base de la vie privée. L'absence totale de politique de purge des données, illustrée par la présence de fichiers antérieurs au lancement officiel de l'appli, prouve que l'accumulation de données est souvent le but premier, quitte à créer des réservoirs de fichiers impossibles à sécuriser correctement. Les experts conseillent désormais une vigilance accrue avant d'accorder l'accès à sa galerie photos à des outils tiers dont la réputation n'est pas solidement établie. Il est impératif que les utilisateurs reprennent le contrôle sur les informations qu'ils confient à ces machines, sous peine de voir leur vie privée bradée sur l'autel de la modernité technologique.