Meta se retrouve une nouvelle fois au centre d’un débat sur la protection des données. Un chercheur a révélé qu’un bug permettait d’accéder à des conversations privées tenues avec le chatbot Meta AI.
Le problème ? Ces discussions n’étaient pas censées être visibles, même pour des utilisateurs connectés. Sandeep Hodkasia, expert en cybersécurité, a découvert l’anomalie, puis l’a exploitée avec une méthode simple. La faille a été signalée en décembre 2024, mais corrigée seulement un mois plus tard.
Le bug reposait sur un détail technique pourtant facile à négliger. Chaque question modifiée dans Meta AI génère un identifiant unique. En surveillant le trafic réseau, Sandeep a compris qu’il suffisait de modifier ce numéro pour consulter les réponses d’autres personnes. En testant différentes combinaisons, il est tombé sur des réponses générées à partir de requêtes privées. L’accès se faisait sans mot de passe, sans restriction et sans message d’erreur. Une erreur élémentaire dans la gestion des autorisations côté serveur.
Meta corrige, mais ne communique presque rien
Meta a reconnu avoir été informée du bug le 26 décembre, puis l’avoir corrigé le 24 janvier. Pourtant, aucune alerte n’a été diffusée auprès des utilisateurs. L’entreprise affirme qu’aucune preuve d’abus n’a été détectée, mais la discrétion du correctif interroge.
En récompense, Sandeep a reçu une prime de 10 000 dollars. Le chercheur estime cependant que cette faille illustre une tendance plus large : les IA intégrées aux réseaux sociaux restent vulnérables aux erreurs de conception.
Des conseils simples pour mieux protéger ses échanges
L’affaire invite à repenser l’usage des assistants IA connectés à des plateformes comme Meta, Google ou xAI. Lorsqu’une IA est utilisée via un réseau social, il vaut mieux éviter d’y associer son compte personnel.
Certains services proposent des modes privés, mais leur efficacité dépend du contexte technique. Il est conseillé de ne jamais divulguer d’informations identifiables et de rester prudent avec les questions posées. Même sans mauvaise intention, une fuite peut rapidement rendre une donnée confidentielle publique.
L’IA évolue vite, la sécurité suit lentement
Ce bug de Meta AI n’est pas isolé. Des cas similaires ont touché d’autres modèles comme Bard, Grok ou Gemini. Les politiques de confidentialité sont souvent trop longues ou opaques pour l’utilisateur moyen. Pourtant, elles contiennent des clauses importantes sur l’usage des données.
Un bon réflexe consiste à interroger une autre IA pour résumer ces documents. Cela permet de mieux comprendre ce que deviennent les messages. La vigilance reste la meilleure défense contre une technologie toujours plus rapide et complexe.
