Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > La faille : que s’est-il passé chez Cal AI

La faille : que s’est-il passé chez Cal AI

par Patrick Spencer updated mars 11, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 7 minutes

Le 9 mars 2026, un acteur malveillant a publié une fuite de données sur BreachForums, affirmant avoir compromis Cal AI — l’application de suivi calorique dopée à l’IA qui a récemment fait la une pour avoir acquis MyFitnessPal. La fuite représente 14,59 Go répartis sur huit fichiers, contenant prétendument plus de 3,2 millions d’enregistrements d’utilisateurs.

Résumé des points clés

  1. Un hacker sous le pseudonyme « vibecodelegend » affirme avoir piraté Cal AI, l’application virale de suivi calorique dopée à l’IA qui a récemment acquis MyFitnessPal, publiant 14,59 Go de données contenant plus de 3,2 millions d’enregistrements d’utilisateurs sur BreachForums. Les données exposées incluent, selon les rapports, les dates de naissance, noms complets, genres, adresses e-mail, profils de réseaux sociaux, codes PIN, détails d’abonnement, caractéristiques physiques comme la taille et le poids, journaux alimentaires horodatés et objectifs d’exercice.
  2. Le vecteur d’attaque serait un backend Google Firebase non authentifié — l’attaquant affirme que toute la table des abonnements était lisible sans identifiants. L’application utilisait également des codes PIN numériques à 4 chiffres sans limitation du nombre de tentatives ni CAPTCHA sur le point d’accès de connexion, rendant les attaques par force brute extrêmement simples.
  3. Les chercheurs de Cybernews ont examiné les données divulguées et confirmé leur authenticité apparente. L’ensemble contenait environ 2,8 millions d’adresses e-mail uniques, dont près de 1,2 million utilisaient le service de relais privé d’Apple — ce qui signifie que la fuite a touché des utilisateurs ayant pris des mesures pour protéger leurs données.
  4. Au moins un enregistrement appartiendrait à un enfant né en 2014, soulevant de graves préoccupations en matière de protection des données des mineurs au regard du COPPA et du RGPD. La nature hautement personnelle des données de santé et de comportement impliquées — habitudes alimentaires, mensurations, objectifs de remise en forme — permet de dresser des profils de vie exploitables pour l’ingénierie sociale ciblée, l’extorsion ou la fraude à l’assurance.
  5. Cal AI a acquis MyFitnessPal sans procéder à une revue d’intégration de la sécurité, alors même que MyFitnessPal avait déjà connu une faille majeure en 2018 ayant touché 150 millions de comptes sous Under Armour. Ce manque de due diligence en matière de sécurité lors de la fusion-acquisition s’inscrit dans une série de défaillances systémiques de sécurité dans les applications dopées à l’IA, avec au moins 20 incidents documentés entre janvier 2025 et début 2026 ayant exposé des dizaines de millions d’enregistrements pour des causes évitables et connues.

Ce n’est pas une erreur. L’application qui promet de « toujours garder vos informations personnelles privées et sécurisées » aurait laissé toute sa base d’abonnements accessible sans authentification.

Cal AI a connu un succès fulgurant en tant qu’outil de suivi alimentaire basé sur la caméra. Les utilisateurs prennent leur repas en photo, et l’IA estime les calories et macronutriments. Soutenue par des célébrités et influenceurs, l’acquisition de MyFitnessPal a fait de Cal AI un acteur majeur du suivi santé et bien-être. Cal AI n’avait pas répondu aux sollicitations de la presse au moment de la publication.

Pourquoi cette fuite est différente

Les journaux alimentaires horodatés révèlent quand et quoi mangent les utilisateurs. Les objectifs d’exercice et cibles de macronutriments exposent leurs objectifs de santé. La taille, le poids et les mensurations dressent un profil physique. Ces données offrent une vision détaillée du mode de vie quotidien — ouvrant la voie à l’ingénierie sociale ciblée, la fraude à l’assurance, l’extorsion et l’usurpation d’identité.

Et il y a les données des enfants. Au moins un enregistrement concerne un utilisateur né en 2014. Des données de santé sur des mineurs entre les mains d’acteurs malveillants constituent une catastrophe réglementaire et éthique. Selon le COPPA et le RGPD, l’exposition de données d’enfants entraîne des sanctions bien plus sévères que pour les adultes.

Analyse des causes racines : quatre défaillances inacceptables

Cette fuite ne résulte pas d’une opération sophistiquée menée par un État ni d’une faille zero-day ingénieuse. Elle découle de défaillances fondamentales de sécurité qu’un audit sérieux aurait détectées en quelques heures.

Backend Firebase non authentifié. Le point d’entrée de l’attaquant était un backend Google Firebase sans exigence d’authentification. Par défaut, les bases Firebase sont sécurisées — il faut une mauvaise configuration volontaire pour les rendre publiques. Un audit Cybernews de plus de 38 000 applications Android dopées à l’IA a identifié des centaines d’instances Firebase sans authentification, exposant collectivement des milliards d’enregistrements. Cal AI est tombé dans un piège bien connu.

Authentification par code PIN à 4 chiffres sans limitation. Cal AI s’appuyait sur un code PIN numérique à 4 chiffres comme principal mécanisme d’authentification — soit 10 000 combinaisons possibles. Sans limitation du nombre de tentatives, verrouillage de compte ou CAPTCHA, un attaquant pouvait forcer l’accès à n’importe quel compte en quelques minutes. Un code PIN à 4 chiffres protège moins bien qu’un cadenas de valise et ne répond à aucune norme d’authentification publiée depuis vingt ans.

Absence de détection d’exfiltration pour 14,59 Go de données. L’exfiltration de près de 15 Go de données aurait dû déclencher des alertes. De telles lectures massives produisent des schémas de trafic évidents. L’absence de détection suggère que Cal AI n’avait ni surveillance d’anomalies, ni prévention des pertes de données, ni détection d’intrusion. Les données n’étaient pas chiffrées de manière significative — si elles l’avaient été avec des clés contrôlées par les clients, la fuite aurait été illisible.

Lacune dans la due diligence sécurité lors de la fusion-acquisition. Cal AI a acquis MyFitnessPal — une plateforme déjà victime d’une fuite massive sous son précédent propriétaire. Cette acquisition aurait dû déclencher une due diligence sécurité approfondie. Soit cet audit n’a pas eu lieu, soit il a été ignoré. Dans les deux cas, c’est injustifiable.

Le constat : les applications IA font face à une crise systémique de sécurité

Cal AI n’est pas un cas isolé. Entre janvier 2025 et début 2026, au moins 20 incidents de sécurité documentés ont exposé les données personnelles de dizaines de millions d’utilisateurs d’applications dopées à l’IA. Les causes racines sont toujours les mêmes : bases Firebase mal configurées, absence d’authentification sur les backends cloud, clés API codées en dur, et absence de limitation du nombre de tentatives.

Le phénomène du « vibe coding » — où les outils d’IA génèrent des applications fonctionnelles sans revue de sécurité — a accéléré cette crise. Les applications sont lancées à une vitesse inédite, conçues par des développeurs qui privilégient l’acquisition d’utilisateurs à l’architecture de sécurité. Résultat : une génération d’applications manipulant des données ultra-sensibles avec la sécurité d’un projet de hackathon du week-end.

Ce que les clients Kiteworks doivent retenir

Chaque défaillance observée dans la fuite Cal AI correspond à des fonctions que le Réseau de données privé Kiteworks a été conçu pour empêcher.

Accès zéro trust et authentification d’entreprise. Kiteworks impose des contrôles d’accès zéro trust avec des règles attributaires pour chaque requête de données. L’authentification multifactorielle via RADIUS, PIV/CAC, OTP et services 2FA tiers, combinée au SSO via SAML, OAuth, LDAP et Azure AD, élimine toute faiblesse d’authentification. Un code PIN à 4 chiffres ne serait jamais accepté comme méthode d’accès.

Architecture de défense en profondeur. Kiteworks se déploie comme une appliance virtuelle durcie intégrant un pare-feu applicatif web, un pare-feu réseau et une détection d’intrusion — bloquant les appels API non autorisés avant d’atteindre les données. Même en cas de brèche d’un niveau, la segmentation bloque les mouvements latéraux grâce à une approche « assume breach ».

Double chiffrement avec clés contrôlées par le client. Les données sont chiffrées au niveau fichier et disque avec AES-256 et des clés distinctes, ce qui les rend illisibles même en cas d’accès backend. Les clés contrôlées par le client garantissent que même le fournisseur ne peut accéder aux données. Un moteur de prévention des pertes de données bloque ou met en quarantaine les transferts non conformes aux règles.

Journalisation d’audit et détection d’anomalies. Chaque interaction est consignée dans un journal d’audit unique, immuable, avec remontée en temps réel vers le SIEM et sans limitation de débit. La détection d’anomalies basée sur l’IA signale les accès inhabituels — comme les lectures massives typiques d’une exfiltration — et aurait détecté et bloqué la fuite Cal AI bien avant l’extraction des 14,59 Go.

Gouvernance des données IA pour les nouveaux vecteurs d’attaque. Les applications santé dopées à l’IA utilisent de plus en plus des agents IA pour personnaliser les recommandations, qui nécessitent l’accès à des données sensibles. Le Secure MCP Server et l’AI Data Gateway de Kiteworks soumettent ces agents IA aux mêmes contrôles zéro trust que les utilisateurs humains — chaque requête est authentifiée, autorisée et auditée.

L’équation de la confiance a changé

La fuite Cal AI est un cas d’école. Un backend ouvert. Un mécanisme d’authentification dérisoire. Aucune détection d’exfiltration. Aucun chiffrement. Et les données santé les plus intimes de 3,2 millions de personnes en libre accès sur un forum de hackers.

Voilà ce qui arrive quand la sécurité passe après tout le reste — quand on privilégie la montée en charge des applications avant de bâtir l’infrastructure de protection des utilisateurs. Les organisations manipulant des données sensibles doivent considérer l’architecture de sécurité comme le produit lui-même, et non comme une option à ajouter plus tard. Un Réseau de données privé qui impose l’authentification à chaque niveau, chiffre les données même vis-à-vis de la plateforme, et surveille chaque interaction en temps réel n’est pas un luxe. C’est la base. La vraie question pour toute organisation traitant des données sensibles n’est pas de savoir si une fuite surviendra, mais si votre architecture y survivra.

Foire aux questions

La fuite Cal AI a exposé les noms complets, adresses e-mail, dates de naissance, genres, codes PIN, tailles, poids, journaux alimentaires horodatés, objectifs d’exercice et détails d’abonnement de 3,2 millions d’utilisateurs. Pour les utilisateurs d’applications de suivi calorique, ces données de santé et de comportement créent des profils de vie exploitables par des attaquants pour l’ingénierie sociale, l’extorsion et la fraude à l’assurance.

La fuite Cal AI a exploité un backend Firebase sans aucune règle d’authentification, rendant toute la base d’abonnements accessible publiquement. Firebase est sécurisé par défaut, mais les développeurs doivent configurer les règles de sécurité. Pour les développeurs d’applications santé utilisant Firebase, il faut auditer vos règles de sécurité sans délai — c’est la mauvaise configuration la plus courante dans les applications dopées à l’IA.

Les données des enfants sont exposées à la suite de la fuite Cal AI. Au moins un enregistrement concerne un enfant né en 2014, et d’autres mineurs pourraient être concernés. Les parents doivent surveiller les communications suspectes, changer les mots de passe des comptes associés et activer l’authentification multifactorielle. L’exposition de données de santé d’enfants entraîne des sanctions aggravées selon le COPPA et le RGPD.

Après une notification de fuite Cal AI, changez immédiatement les mots de passe de tout compte utilisant la même adresse e-mail et activez l’authentification multifactorielle partout où c’est possible. Soyez attentif aux e-mails de phishing évoquant vos données santé ou fitness et surveillez vos comptes financiers pour détecter toute activité suspecte. Les données divulguées circulent sur des plateformes russophones et Telegram, augmentant le risque d’arnaques ciblées.

La fuite MyFitnessPal de 2018 a exposé 150 millions de comptes, mais concernait principalement des noms d’utilisateur et des mots de passe hachés. La fuite Cal AI est plus petite mais bien plus intrusive, exposant des mensurations, des journaux alimentaires et des objectifs de remise en forme. Pour les entreprises envisageant MyFitnessPal pour le bien-être des collaborateurs, l’acquisition par Cal AI sans correction des failles connues soulève de sérieuses questions de due diligence.

Les applications santé dopées à l’IA comme Cal AI sont vulnérables car elles collectent des données comportementales très personnelles tout en privilégiant la rapidité de lancement à l’architecture de sécurité. Entre janvier 2025 et début 2026, au moins 20 fuites d’applications IA ont été causées par les mêmes racines : bases Firebase mal configurées et absence d’authentification. Les équipes développant des applications santé IA doivent imposer des revues de sécurité avant tout déploiement en production.

La fuite Cal AI aurait pu être évitée grâce à des contrôles d’accès zéro trust, l’authentification multifactorielle à la place des codes PIN à 4 chiffres, des WAF et pare-feux intégrés bloquant les accès API non autorisés, le double chiffrement avec clés contrôlées par le client, et la détection d’anomalies signalant toute exfiltration massive. Les équipes sécurité doivent exiger la preuve de ces cinq contrôles avant toute intégration avec un éditeur d’application santé.

La fuite Cal AI montre que les entreprises déployant des outils bien-être IA doivent vérifier l’architecture de sécurité backend avant toute intégration. Exigez l’accès zéro trust, l’authentification multifactorielle, le chiffrement avec clés contrôlées par le client, la journalisation d’audit et la détection d’anomalies auprès de tout éditeur traitant des données santé de collaborateurs. Un Réseau de données privé garantit une gouvernance cohérente pour tous les échanges de données avec des tiers.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks