Sears a exposé les conversations des clients avec son chatbot IA à tous les utilisateurs d'internet

Le détaillant américain Sears a connu une grave fuite de données : les conversations des clients avec le chatbot d'IA d'entreprise — y compris les enregistrements d'appels téléphoniques et les échanges de textes — sont restés ouvertement accessibles sur internet. N'importe qui pouvait les consulter sans autorisation et sans aucune compétence technique particulière. Selon une enquête de la publication Wired, ce qui a été exposé publiquement n'était pas simplement des journaux techniques.

Les conversations contenaient les noms des clients, les coordonnées, les adresses e-mail et les détails spécifiques des achats — quand un achat a été effectué, quoi exactement, et quels problèmes sont survenus. C'est exactement le type d'information qui est de l'or pour les escrocs : connaissant le nom d'une personne, le produit qu'elle a acheté et quand elle a contacté le support, un arnaqueur peut construire un scénario d'hameçonnage convaincant. Le schéma d'attaque fonctionne ainsi : un escroc appelle un client de Sears et se fait passer pour un employé de l'entreprise.

"Bonjour, Maria. Nous appelons au sujet de votre commande de réfrigérateur du 12 avril — il y a des problèmes de livraison". La personne ne sent aucun piège : les détails correspondent parfaitement.

Suit une demande de confirmation des informations de paiement, de paiement pour une « relivraison » ou de suivre un lien pour « confirmer votre adresse ». Ce scénario s'appelle l'hameçonnage ciblé (spear phishing) — il fonctionne des ordres de grandeur plus efficacement que les envois en masse précisément parce qu'il utilise les vraies données personnelles de la victime. L'incident de Sears n'est pas un cas isolé, mais un symptôme d'un problème systémique.

À mesure que les détaillants, les banques et les entreprises de services déploient massivement des chatbots d'IA pour le service à la clientèle, le volume de données personnelles que ces systèmes collectent et stockent croît rapidement. Les chatbots modernes mènent des conversations complètes, se souviennent du contexte des interactions précédentes et ont accès à l'historique des commandes. Cela les rend des outils d'assistance utiles — et simultanément des points de défaillance dangereux en cas de mauvaise configuration du stockage des données.

Du point de vue de la sécurité, les journaux de conversation des chatbots sont particulièrement précieux pour les attaquants pour plusieurs raisons. Les clients communiquent avec les bots ouvertement — décrivant les problèmes avec des détails qu'ils ne partageraient pas avec un étranger. Les données sont structurées et facilement traitées : nom, date, type de demande — un profil prêt pour une attaque.

Enfin, les utilisateurs ne s'attendent pas à ce que leur correspondance technique avec un bot puisse devenir publique, et ils n'exercent pas la prudence de la manière qu'ils le feraient en remplissant des formulaires officiels. La réponse de Sears à l'incident était restée inconnue au moment de la publication. L'entreprise traverse une période difficile : autrefois le plus grand détaillant américain, elle s'est réduite à une petite chaîne après des années de difficultés financières et une faillite en 2018.

La mise en œuvre d'outils d'IA pour réduire les coûts du support client a un sens logique dans une stratégie de survie — mais les économies sur la sécurité des données se transforment en risques qui pourraient coûter beaucoup plus cher. Ce cas soulève une question plus large : dans quelle mesure les entreprises sont-elles prêtes à déployer de manière responsable des systèmes d'IA qui travaillent avec des données sensibles ? L'UE dispose déjà de la Loi sur l'IA avec des exigences d'évaluation des risques.

Aux États-Unis, la FTC poursuit systématiquement les entreprises pour une protection inadéquate des données des consommateurs — et les fuites de cette ampleur relèvent clairement de ses intérêts. Pour les utilisateurs ordinaires, la conclusion est simple : un appel inattendu qui en sait trop sur vos achats peut ne pas être une coïncidence, mais une conséquence directe d'une fuite dont on ne vous a jamais avertis.