Panda SecurityLancée comme une application de prévention dans le domaine des rencontres, Tea se présentait comme un espace sûr réservé aux femmes, où l’on pouvait échanger en toute confiance sur les comportements à risque observés chez des partenaires ou partager des expériences personnelles. Mais en juillet 2025, la faille de sécurité de Tea a exposé des milliers de photos, de documents d’identité et plus d’un million de messages privés.
Ce scandale met en lumière les limites de la sécurité numérique, même dans des services conçus pour protéger leurs utilisateurs. Cet article fait le point sur ce qui a été exposé, comment cela a pu arriver et surtout comment mieux se protéger face à ce type de menace.
L’essentiel à retenir
- Tea a subi deux fuites massives : 72 000 images (selfies et pièces d’identité) et 1,1 million de messages privés ont été compromis.
- Les conversations exposées contenaient des informations très sensibles (avortements, infidélités, numéros de téléphone, localisations).
- Les données ont circulé sur des forums comme 4chan, suscitant des risques graves d’usurpation et de harcèlement.
- Tea a désactivé la messagerie interne, lancé une enquête avec le FBI et des experts en cybersécurité, et offre une protection d’identité à ses victimes.
- Cette crise met en lumière les dangers des apps Web2 peu sécurisées, notamment celles lancées rapidement grâce à l’IA.
1. Ce qui a été compromis
Une première fuite d’images sensibles
Tea a confirmé que son ancien système d’archives contient des photos issues de l’inscription initiale (selfies et pièces d’identité), ainsi que des images publiées dans l’app (messages, posts, commentaires).
Elles ont été exposées en ligne via un service de stockage non sécurisé, affectant les femmes inscrites avant février 2024. Au total, environ 72 000 images, dont près de 13 000 selfies/ID et environ 59 000 photos publiques, ont été compromises.
Une seconde fuite révélant des conversations privées
Une enquête menée par un chercheur indépendant a mis au jour une deuxième base de données non sécurisée, contenant près de 1,1 million de messages privés échangés entre les utilisatrices de l’app.
Ces échanges portaient sur des sujets extrêmement personnels comme l’avortement, l’infidélité ou des demandes de rencontre. Cette fuite recouvre une période allant de 2023 à juillet 2025 et confirme l’ampleur de la faille de sécurité de Tea.
2. Une communauté trahie sur un espace sensé la protéger
Une confiance brisée
Tea avait été conçue comme un refuge numérique : un lieu où les femmes pouvaient échanger en toute sécurité sur des relations passées ou en cours, repérer des signes de danger, et s’entraider. Mais la fuite massive de données a gravement remis en cause cette promesse.
Des contenus très personnels — photos, documents d’identité, messages intimes — se sont retrouvés exposés publiquement, parfois sur des forums connus pour le harcèlement en ligne. Pour de nombreuses utilisatrices, cette exposition soudaine a eu un impact direct sur leur vie personnelle et leur sentiment de sécurité.
Des actions en justice en cours
Face à cette atteinte à leur vie privée, plusieurs victimes ont lancé une action collective aux États-Unis. Elles accusent Tea de n’avoir ni sécurisé leurs données, ni alerté suffisamment tôt.
En cause : les conséquences possibles comme le harcèlement ciblé, le chantage ou l’usurpation d’identité. L’affaire pourrait faire date, tant par l’ampleur des informations exposées que par le profil vulnérable des personnes touchées.
3. Comment cela a-t-il pu arriver ?
L’origine de la faille réside dans plusieurs négligences techniques graves. Les images et messages confidentiels étaient stockés dans une base de données Firebase non protégée. Il n’y avait pas de mot de passe, pas de chiffrement et aucune restriction d’accès. En clair, n’importe qui disposant du lien pouvait consulter ou télécharger ces fichiers.
Mais ce n’est pas tout. Pour accélérer le développement de l’application, les équipes de Tea ont utilisé des outils d’intelligence artificielle peu encadrés. Cette démarche suit une logique qualifiée de « vibe coding ». Autrement dit, du code généré rapidement, sans validation rigoureuse. Ce choix aurait laissé passer des failles de sécurité critiques, ouvrant la porte à des fuites massives de données.
Cela pourrait vous intéresser : Fuites de données vs. violations de données: quelle est la différence et comment s’en protéger ?
4. Que faire en tant qu’utilisatrice ?
Les actions immédiates à prendre :
- Désactivez vos notifications et supprimez votre compte si vous avez été affectée.
- Surveillez vos informations personnelles en ligne (réseaux sociaux, profils publics).
- Activez les services de protection d’identité, proposés par Tea pour les victimes.
- Signalez les publications illégales ou les contenus partagés (photos, messages) aux plateformes hébergeant ces données.
La faille de sécurité de l’application Tea illustre tragiquement un constat alarmant. Même les plateformes dites « sûres » peuvent devenir dangereuses. Cela arrive lorsque la sécurité est négligée au profit d’un lancement rapide.
Cette affaire doit servir d’avertissement majeur : ni anonymat, ni apps spécialisées ne garantissent la confidentialité sans architecture technique solide. Les utilisateurs, les développeurs et les régulateurs doivent en tirer des leçons profondes pour préserver la protection des données sensibles à l’ère numérique.
