- ExpressVPN a mis au jour d’importantes fuites de données provenant de chatbots alimentés par l’IA
- Les bases de données n’étaient pas chiffrées
- ExpressVPN appelle les utilisateurs à la vigilance
Si l’on apprenait que jusqu’à 3,7 millions de données privées d’utilisateurs avaient été rendues publiques, il serait logique de penser à un piratage majeur. Pourtant, une enquête récente publiée par ExpressVPN montre à quel point il est facile de perdre sa vie privée lorsque des mesures de sécurité élémentaires, comme la protection par mot de passe et le chiffrement, ne sont pas mises en place.
Mené par le chercheur en cybersécurité Jeremiah Fowler, le rapport a révélé un cas dans lequel d’énormes volumes de données clients ont été exposés via des chatbots alimentés par l’IA utilisés par des enseignes pour leur service client.
Si vous consultez cette page, il est probable qu’un des meilleurs VPN protège déjà votre confidentialité numérique pendant la navigation ou le streaming, grâce à des fonctions de chiffrement avancées.
Mais lorsqu’un commerçant ou un service tiers ne prend pas les mesures adéquates pour sécuriser les données, même les utilisateurs les plus avertis peuvent ne pas mesurer l’ampleur des risques encourus si ces informations tombent entre de mauvaises mains.
Les conclusions
Jeremiah Fowler a découvert trois bases de données distinctes accessibles publiquement, sans protection par mot de passe ni chiffrement, contenant 3,7 millions d’enregistrements, dont des données personnelles telles que des adresses e-mail, des adresses postales et des numéros de téléphone.
Pour donner une idée de l’ampleur des données exposées, un échantillon initial comprenait à lui seul 1 422 577 enregistrements audio de clients. Même un aperçu rapide révélait des transcriptions textuelles totalisant 3,9 To, 207 381 fichiers Excel et des enregistrements audio représentant 415,2 Go.
L’échantillon limité contenait des transcriptions et des fichiers audio appartenant à Sears Home Services, une entreprise américaine de distribution et de réparation qui utilise des chatbots IA en anglais et en espagnol pour automatiser la planification des rendez-vous, les appels téléphoniques et les conversations en ligne.
Les fichiers comprenaient 54 359 transcriptions complètes des conversations entre des clients et des chatbots IA, ainsi que leurs enregistrements audio correspondants.
Jeremiah Fowler a précisé que le système continuait également à enregistrer des fichiers audio si le client ne raccrochait pas correctement, ce qui signifiait que certains enregistrements pouvaient contenir jusqu’à quatre heures de conversations en arrière-plan et d’importantes quantités de données biométriques vocales.
L’expert a présenté un aperçu des données découvertes, partageant des captures d’écran des structures de fichiers et des types de documents contenus. Ces éléments montraient comment les données pouvaient être consultées, notamment la possibilité de lire les fichiers audio directement depuis un navigateur web, ainsi que les interfaces permettant d’interagir facilement avec le système de fichiers.
Comment se protéger
Jeremiah Fowler a indiqué que l’accès public aux données avait été restreint immédiatement après l’envoi d’une notification de divulgation responsable à Transformco, maison mère de Sears Home Services. Il est toutefois resté préoccupé par la situation.
L’enquête souligne qu’avec l’automatisation pilotée par l’IA capable de stocker d’immenses quantités de données extrêmement sensibles, le risque est réel que certaines entreprises agissent de manière négligente et laissent des informations exposées — un scénario inquiétant alors que les estimations prévoient que les pertes liées aux fraudes alimentées par les deepfakes pourraient atteindre 40 milliards de dollars d’ici 2027.
Un tel volume de données pourrait permettre à des pirates d’associer des identités ou de reproduire des profils numériques à des fins criminelles. Dans ces cas, même un réseau privé virtuel (VPN) s’avère inutile si la faille provient de l’entreprise à laquelle les données ont été volontairement confiées via des chatbots ou d’autres applications.
ExpressVPN appelle les utilisateurs à rester vigilants et recommande des mesures pratiques, notamment l’utilisation de mots de passe robustes et des précautions supplémentaires dans les situations sensibles.
Il est également conseillé de faire preuve de prudence face aux e-mails, SMS ou appels téléphoniques non sollicités mentionnant des informations précédemment partagées avec une entreprise ou un service.
Enfin, face à la multiplication des arnaques par clonage vocal, il est recommandé de convenir d’un mot de passe avec ses proches à utiliser dans le cas improbable où un appel demanderait de l’argent ou de l’aide.
