Sears expose 3,7 millions de conversations avec son chatbot IA
Des millions d'échanges entre clients et l'assistant IA de Sears étaient accessibles à tous sur Internet. Noms, adresses, appels audio : tout était ouvert.
Quand on appelle un service client et qu'on tombe sur un robot qui nous répond, on s'attend au minimum à ce que la conversation reste privée. Chez Sears, l'enseigne américaine historique, ce n'était pas le cas.
Un chercheur en sécurité, Jeremiah Fowler, a découvert que trois bases de données contenant les conversations entre les clients et le chatbot IA de Sears étaient accessibles à n'importe qui sur Internet. Pas de mot de passe, pas de protection : tout était ouvert.
On parle de 3,7 millions de conversations écrites avec le chatbot, plus 1,4 million de fichiers audio et leurs retranscriptions. Le tout couvrant la période de 2024 à aujourd'hui.
Le chatbot s'appelle Samantha et c'est un assistant vocal IA qui aide les clients de Sears Home Services pour la réparation d'appareils électroménagers. Sauf que dans ces conversations, les clients donnaient leurs noms, numéros de téléphone, adresses et détails sur leurs rendez-vous de livraison.
Le détail le plus troublant ? Certains appels audio duraient jusqu'à quatre heures. Les clients pensaient avoir raccroché, mais l'enregistrement continuait. Le chercheur a pu entendre des télévisions en bruit de fond, des conversations privées entre membres d'une famille — bref, des heures de vie quotidienne captées sans que personne ne le sache.
On trouve aussi des exemples de clients exaspérés par le chatbot. Dans un échange, un utilisateur répète 28 fois "Où est mon technicien ?" sans obtenir de réponse utile. Dans un autre, quelqu'un lance au robot : "Tu es un ordinateur. Tu es un ordinateur. Tu es un ordinateur."
Après le signalement du chercheur début février, Sears a rapidement sécurisé les bases de données. Mais impossible de savoir pendant combien de temps elles étaient restées ouvertes, ni si quelqu'un d'autre y avait accédé avant lui.
Cette histoire rappelle un point essentiel : quand une entreprise met en place un chatbot IA, elle collecte automatiquement des montagnes de données personnelles. Et si ces données ne sont pas chiffrées et protégées, le risque pour les clients est énorme. Les informations récoltées — noms, adresses, habitudes — sont exactement ce dont les arnaqueurs ont besoin pour monter des attaques de phishing crédibles.
La leçon est claire pour toutes les entreprises qui se ruent vers l'IA pour leur service client : automatiser, c'est bien, mais protéger les données de vos clients devrait être la priorité numéro un.
À lire aussi
Un marin localise le Charles de Gaulle via Strava
Le Monde a retrouve la position exacte du porte-avions francais grace a l'appli de sport Strava. Une faille de securite qui persiste malgre les alertes.
StravaLeaks 2026 : analyse d'une faille OPSEC persistante
Comment l'application Strava permet de geolocaliseer des actifs militaires en temps reel. Analyse technique de la faille, vecteurs d'exploitation et contre-mesures.
Oracle publie un patch d'urgence pour une faille critique
Oracle corrige en urgence une vulnérabilité critique dans Identity Manager permettant une prise de contrôle à distance sans mot de passe.