La plateforme aux 4,6 millions d'utilisatrices a été victime de deux intrusions dans ses bases de données. Les pirates y ont dérobé des informations sensibles, dont 13 000 cartes d'identité et des conversations très personnelles.

Tea, l'application qui permet aux femmes de noter leurs rendez-vous amoureux pour d'indiquer aux autres si le partenaire est fiable, fait fureur en ce moment aux Etats-Unis, au point d'atteindre la place d'application numéro 1 sur l'App Store (voir notre article). Un TripAdvisor du dating censé rendre celui-ci plus sécurisé, en luttant contre le harcèlement, les arnaques sentimentales ou les conjoints violents, mais qui fait craindre des dérives quant aux fausses accusations et à la confidentialité des données. Et, sur ce point justement, cela semble mal parti !

En effet, les développeurs de l'application ont fait une erreur qui a permis à des pirates de télécharger les données des utilisatrices le 25 juillet dernier. Au total, 72 000 images, dont 13 000 pièces d'identité et selfies utilisés lors de la vérification de compte, ont été dérobées. Mais Tea a remis le couvert avec une deuxième faille de sécurité, cette fois bien plus importante que la précédente.

Piratages Tea : 13 000 pièces d'identité et des conversations dérobées

La première intrusion n'était en réalité pas un piratage à proprement parler, puisqu'il n'y a eu aucune effraction. Les cybercriminels n'ont eu qu'à disposer d'un lien vers une base de données Firebase mal configurée pour mettre la main sur le précieux butin. Selon Tea, il s'agissait d'un ancien système de stockage contenant des informations antérieures à février 2024. Reste que, quelques heures plus tard, des photos de cartes d'identité étaient publiées puis échangées sur plusieurs forums, dont celui de 4chan, comme l'a rapporté 404media.

© Tea

Au travers de deux communiqués successifs, Tea a annoncé avoir mandaté des experts en cybersécurité et avoir ouvert une enquête avec les forces de l'ordre. L'entreprise a assuré qu'"aucune adresse e-mail ni aucun numéro de téléphone n'a été compromis" et a proposé aux utilisatrices victimes de la fuite de données une assistance gratuite en matière de protection de l'identité. L'incident n'a toutefois pas entaché la popularité de l'application, qui a continué d'enregistrer de nombreuses inscriptions. Mais ça, c'était avant la seconde intrusion !

Piratages Tea : jamais deux sans trois ?

Un chercheur a révélé à 404media que Tea a été victime d'une seconde faille de sécurité, bien plus importante que la précédente. Cette fois, les pirates ont eu accès à une autre base de données, beaucoup plus récente cette fois. Le chercheur est parvenu à se procurer plus de 1,1 million de messages, tous envoyés entre 2023 et juillet 2025. Et les sujets que ces conversations abordent sont particulièrement sensibles ! Les utilisatrices discutent d'avortement, de potentiels divorces ou de tromperies. Et même si la plateforme est censée être anonyme, via l'utilisation de pseudos, certaines femmes n'ont pas hésité à partager leurs vrais noms et leurs numéros de téléphone via ces messages privés, ou encore des informations personnelles comme l'adresse, le modèle d'une voiture ou une description physique.

En réaction à cette révélation, Tea assure "continuer à travailler sans relâche pour contenir l'incident", "à identifier tous les utilisateurs dont les informations personnelles ont été impliquées et nous offrirons des services gratuits de protection d'identité à ces personnes". L'entreprise a également indiqué qu'une "enquête en cours impliquant des experts externes en cybersécurité et le FBI" était en cours. Les messages privés sont "temporairement indisponibles" depuis le 28 juillet.