Un projet mené par le laboratoire de cybersécurité CovertLabs a montré que des centaines d’applications iOS laissant fuiter des données sensibles de millions d’utilisateurs. Baptisée Firehound, cette initiative recense des applications dont les bases de données sont accessibles publiquement, exposant notamment noms, adresses e-mail voire les historiques de conversations.

Des millions de comptes compromis, surtout dans les apps IA

À ce jour, Firehound a identifié près de 200 applications problématiques, dont la quasi-totalité divulgue des informations personnelles. En tête du classement figure une application de chatbot baptisée Chat & Ask AI, avec plus de 400 millions d’enregistrements provenant d’environ 18 millions d’utilisateurs. Si les outils d’intelligence artificielle dominent la liste, d’autres catégories sont également touchées, comme l’éducation, le bien-être, le divertissement ou les réseaux sociaux.

App Store Icone Logo

Dans la majorité des cas, les failles proviennent de bases de données mal configurées ou de services cloud insuffisamment sécurisés. Certaines applications divulguent même la structure complète de leurs systèmes internes, ce qui facilitant leur exploitation par des acteurs malveillants.

Un accès encadré aux données les plus sensibles

Firehound limite volontairement l’accès aux informations les plus critiques. Les chercheurs, journalistes et autorités peuvent demander une autorisation spécifique afin d’examiner les jeux de données complets dans une démarche de divulgation « responsable ». Cette initiative rappelle – une fois de plus –  l’importance de choisir avec précaution les applications installées sur son smartphone et de rester vigilant face aux services demandant des données personnelles.