Des applications censées protéger notre bien-être et notre sécurité exposent nos données sensibles.

Les applications conçues pour protéger notre tranquillité d’esprit deviennent de plus en plus des sources d’anxiété. Prenez l’exemple de 7 Minute Chi – Meditate & Move, une application de méditation commercialisée pour réduire le stress, et Robo Spam Text & Call Blocker, un outil iOS destiné à protéger les utilisateurs contre les appels automatisés et le phishing. Les deux promettaient la sécurité, l’une pour le bien-être mental, l’autre pour la sécurité numérique. Au lieu de cela, elles ont exposé les données sensibles des utilisateurs par le biais de failles de sécurité, révélant une vérité inquiétante : les applications auxquelles nous faisons confiance pour protéger notre vie privée sont souvent les maillons les plus faibles de notre vie numérique.

L’ironie des espaces sûrs qui fuient

La violation de 7 Minute Chi a mis à nu les données personnelles de plus de 100 000 utilisateurs (noms, e-mails et secrets d’applications tels que les clés API et les identifiants Facebook) en raison d’une base de données Firebase mal configurée. C’est une trahison. Les utilisateurs cherchaient à se calmer et à se concentrer, mais leurs données ont été utilisées à des fins d’hameçonnage ou d’usurpation d’identité.

De plus, Robo Spam Text & Call Blocker, téléchargé 93 000 fois, a divulgué 339 000 numéros de spam signalés, des tickets d’assistance à la clientèle avec de vrais noms et e-mails, et des secrets d’applications critiques. Les criminels savent désormais quels numéros les utilisateurs bloquent et quels mots-clés éviter, ce qui leur permet de créer des escroqueries qui échappent aux filtres.

Ces fuites ne sont pas des accidents, mais des symptômes de négligence systémique. Les erreurs de configuration de Firebase, qui rendent les bases de données accessibles au public, et les secrets codés en dur intégrés dans le code de l’application sont étonnamment courants. Nos recherches montrent que 71 % des 156 080 applications iOS échantillonnées divulguent au moins un secret, avec une moyenne de 5,2 par application. Lorsque les développeurs prennent des raccourcis, les applications conçues pour protéger deviennent des outils d’exploitation.

Le coût humain des promesses non tenues

Pour les utilisateurs, les retombées sont profondément personnelles. Imaginez que vous receviez un e-mail d’hameçonnage qui fait référence à vos habitudes de méditation, peut-être même en mentionnant l’application spécifique que vous utilisez ou les routines que vous suivez – des détails que vous pensiez privés.

Ou imaginez répondre à un appel indésirable qui non seulement passe votre bloqueur de confiance, mais utilise un langage et des tactiques adaptés à vos préférences signalées et aux mots-clés bloqués, ce qui rend l’escroquerie beaucoup plus convaincante.

Dans les deux cas, le sentiment de violation est profond : les informations que vous avez partagées dans la poursuite du calme ou de la sécurité sont maintenant utilisées pour vous cibler et vous manipuler, transformant des espaces numériques de confiance en sources de nouvelles angoisses.

Un échec de la reddition de comptes

Ni les avis sur l’App Store d’Apple ni la diligence raisonnable des développeurs n’ont empêché ces violations. L’instance Firebase de 7 Minute Chi est restée exposée pendant des semaines, tandis que la société mère de Robo Spam Text & Call Blocker, Brantley Media Group, a un historique de fuites, y compris une application d’IA qui a exposé les histoires intimes des utilisateurs. Pourtant, l’écosystème d’Apple, souvent perçu comme un « jardin clos », ne dispose pas de mécanismes permettant de rechercher des secrets codés en dur ou d’appliquer des configurations cloud sécurisées.

Quelle est la prochaine étape ?

Pour rétablir la confiance, l’industrie doit donner la priorité à :

– Étendre les avis sur l’App Store pour inclure les contrôles de sécurité du backend : Apple et les autres propriétaires de plates-formes doivent intégrer des analyses automatiques pour détecter les bases de données mal configurées, les informations d’identification codées en dur et d’autres vulnérabilités du backend avant d’approuver les applications.
– Les développeurs doivent respecter des normes de codage sécurisées, effectuer des révisions de code régulières et exploiter des outils de test de sécurité automatisés pour détecter rapidement les vulnérabilités.
– Fournir des visualisations et des alertes de confidentialité en temps réel : donnez aux utilisateurs des tableaux de bord ou des notifications qui révèlent comment leurs données sont utilisées, et alertez-les immédiatement en cas de fuites potentielles ou d’activités suspectes.
– Offrir une assistance et une transparence après une violation, et informez rapidement les utilisateurs en cas de violation, fournissez des conseils sur les actions de protection, ainsi que des services tels que des analyses de données personnelles pour aider les utilisateurs à se rétablir.
– Mettre à jour et corriger régulièrement les applications.

En tant que chercheur principal de ces enquêtes, j’exhorte les utilisateurs à exiger mieux. Modifiez les mots de passe exposés aux violations, limitez les données partagées avec les applications, vérifiez les applications avant de les installer, autant que possible, et faites pression sur les plateformes pour qu’elles appliquent des normes plus strictes. D’ici là, les outils mêmes commercialisés pour nous protéger continueront de nous laisser exposés.

À propos de l’expert

Aras Nazarovas est chercheur en sécurité de l’information chez Cybernews, une publication en ligne axée sur la recherche. Il est spécialisé dans la cybersécurité et l’analyse des menaces. Il enquête sur les services en ligne, les campagnes malveillantes et la sécurité matérielle tout en compilant des données sur les menaces de cybersécurité les plus courantes. Aras Nazarovas et l’équipe de recherche de Cybernews ont découvert d’importants problèmes de confidentialité et de sécurité en ligne ayant un impact sur des organisations et des plateformes telles que la NASA, Google Play, l’App Store et PayPal. L’équipe de recherche de Cybernews mène plus de 7 000 enquêtes et publie plus de 600 études par an, aidant les consommateurs et les entreprises à mieux comprendre et à atténuer les risques de sécurité des données.

Dans un monde où la technologie est censée nous protéger, il est essentiel de réfléchir à la manière dont nos données sont manipulées et à la confiance que nous accordons aux outils numériques.