Une faille de sécurité détectée dans une appli téléchargée 500.000 fois, des millions de données personnelles exposées

cybersécurité•Une application téléchargée plus de 500.000 fois sur le Play Store permettait d’accéder à plus de 8 millions de fichiers personnels d’utilisateurs

À cause d'une faille de sécurité, plus de 12 téraoctets de données personnelles se sont retrouvées en accès libre. Illustration. - Pexels / Pixabay

20 Minutes avec agence

Publié le 26/02/2026 à 17h32 • Mis à jour le 26/02/2026 à 18h12

Une application open bar. Des chercheurs du site spécialisé Cybernews ont révélé qu’une application nommée Video AI Art Generator & Maker, et téléchargée plus de 500.000 fois sur le Play Store de Google, présentait une immense faille de sécurité depuis son lancement en juin 2023.

Elle permettait d’avoir accès à plus de 12 téraoctets de données personnelles des utilisateurs. La faille, signalée aux développeurs en décembre 2025, a été corrigée le 3 février.

Un problème de configuration

Comme son nom le suggère, l’application permettait de modifier des photos et des vidéos en utilisant des intelligences artificielles (IA) génératives. Elle a été développée par Codeway, une société basée en Turquie et associée également aux Émirats arabes unis. L’entreprise était déjà derrière Chat & Ask AI, une app téléchargée par plus de 25 millions d’utilisateurs, qui donnait quant à elle accès à 300 millions de messages échangés par les utilisateurs avec l’IA.

À l’origine de ces failles : un problème de configuration. Pour Video AI Art Generator & Maker, c’est le Google Cloud Storage qui était mal configuré. Il permettait à n’importe qui d’accéder aux fichiers stockés sans authentification. Au total, 2,87 millions d’images et autant de vidéos générées par AI, mais surtout 1,57 million d’images et 385.000 vidéos déposées par les utilisateurs, étaient librement accessibles.

Une négligence bientôt sanctionnée ?

Ces 8 millions de fichiers correspondent à l’ensemble de ce qui a été téléchargé et généré sur l’application depuis son lancement en juin 2023 jusqu’à la découverte de la faille en décembre. Car au-delà des problèmes de sécurité, il apparaît que l’application ne prévoyait aucune suppression des données des utilisateurs. Codeway ne les a d’ailleurs pas prévenus de l’existence de la faille une fois révélée, ni de la résolution du problème.

Pour Cybernews, il ne s’agit ainsi pas d’une erreur, mais d’une négligence de l’entreprise. « Cette fuite de données montre comment certaines applications d’IA privilégient la rapidité de livraison des produits, au détriment de fonctionnalités de sécurité essentielles », ont indiqué les chercheurs. À ce titre, Codeway pourrait avoir violé le RGPD, le règlement européen en matière de protection des données, et se voir infliger une amende importante.