Le FBI a publié cette semaine un avis public qui devrait alerter toute personne qui utilise son téléphone comme centre de vie numérique : les applications développées en dehors des États-Unis, et en particulier celles originaires de Chine, peuvent poser de réels risques pour la vie privée et la sécurité des données personnelles. Ce n'est pas une campagne de panique, mais un appel à la prudence. sur la manière dont ces applications collectent, stockent et, dans certains cas, partagent des informations sensibles.
Dans sa déclaration publiée sur la plateforme du Internet Crime Complex Center (IC3), l'agence rappelle que bon nombre des applications les plus téléchargées et les plus rentables du marché américain sont créées et maintenues par des entreprises étrangères. Le point central de l'avis est que les cadres juridiques et techniques d'autres pays peuvent permettre à l'État d'accéder à des données qui, lorsqu'elles y sont stockées ou traitées, échappent au contrôle direct de ceux qui les produisent. Le FBI affirme que, selon les politiques de confidentialité de plusieurs applications, les données recueillies peuvent résider sur des serveurs situés à l'étranger et y rester « tant que les développeurs le jugent nécessaire »; en outre, certaines plateformes subordonnent leur fonctionnement à l'acceptation par l'utilisateur d'un large partage de ces informations. La version intégrale peut être consultée sur le site Internet de l'IC3 : https: / / www.ic3.gov / PSA / 2026 / PSA260331.
Quels sont les risques spécifiques? Le FBI met en garde contre les pratiques observées dans diverses applications qui incluent la collecte continue de données, même lorsque l'utilisateur a limité les permissions à « seulement pendant que l'application est active », l'accès prédéterminé à l'agenda de contact (avec noms, téléphones et courriels), et le stockage des informations d'identification sur les serveurs qui peuvent être soumis à la législation nationale autre que les lois américaines sur la confidentialité. Ces circonstances augmentent la possibilité que les données soient utilisées à des fins que les utilisateurs n'approuvent pas explicitement.
Cet avis s'inscrit dans un contexte politique et réglementaire déjà tendu : parallèlement aux préoccupations concernant le flux de données, en 2026, une restructuration opérationnelle de TikTok aux États-Unis a été réalisée, qui visait à éviter une interdiction en transférant le contrôle opérationnel à une coentreprise principalement américaine, a-t-il déclaré. Reuters. Des épisodes comme celui-ci montrent que les préoccupations au sujet de la sécurité nationale et des données ne sont pas seulement hypothétiques, mais aussi influent sur les décisions commerciales et législatives.
En expliquant les raisons pour lesquelles les gouvernements peuvent exiger l'accès, les experts soulignent souvent que de nombreuses juridictions ont des normes nationales de renseignement ou de sécurité qui permettent aux autorités de solliciter la coopération d'entreprises technologiques. Cette possibilité ne signifie pas nécessairement que toutes les applications originaires d'un pays sont malveillantes, mais elle introduit un vecteur de risque supplémentaire que les utilisateurs et les organisations devraient évaluer.
Du point de vue pratique, il existe des habitudes simples et efficaces pour réduire l'exposition : examiner et limiter les autorisations consciemment, éviter d'installer des applications de sources non officielles, garder le système d'exploitation et les applications à jour, et surveiller le comportement inhabituel de l'appareil ou des comptes connexes. Il vaut également la peine de profiter des outils offerts par les plateformes pour savoir quelles données sont collectées par une application: par exemple, Apple publie des étiquettes de confidentialité dans l'App Store et Google exige des développeurs qu'ils déclarent leurs pratiques dans la section « Sécurité des données » de Google Play. De plus amples informations sur ces outils sont disponibles sur les pages officielles Apple et Google: Apple - Confidentialité des applications et Google Play - Sécurité des données.
Dans le domaine des mots de passe, le FBI suggère de les modifier régulièrement, mais les spécialistes de la sécurité recommandent une approche plus moderne : utiliser un gestionnaire de mots de passe pour générer et stocker des identifiants uniques et robustes, et activer l'authentification de deux facteurs dans la mesure du possible. Parmi les gestionnaires les plus connus, on peut citer : Petits et 1Mot de passe, ce qui facilite la création de mots de passe complexes sans dépendre de la mémoire et réduit le risque de réutiliser les identifiants.
Tout le problème n'est pas exclusif à certaines juridictions ou entreprises : l'architecture technique du mobile et des permissions a évolué pour donner à l'utilisateur plus de contrôle, mais la réalité montre que de nombreuses applications demandent toujours plus d'accès que nécessaire ou recueillent des informations avec des configurations par défaut trop permissives. De plus, la façon dont ces applications gèrent les données - ce qu'elles conservent, pour combien de temps et avec qui elles les partagent - est souvent documentée dans des politiques que peu lisent et ne sont pas toujours faciles à interpréter.
Si vous soupçonnez qu'une application a compromis vos informations personnelles ou détecte une activité étrangère liée à une application étrangère, le FBI vous demande de le signaler via la plateforme IC3. Il est également recommandé de se connecter à des services importants, de vérifier les mouvements des comptes et des cartes bancaires, de modifier les mots de passe avec un gestionnaire sécurisé et, en cas d'impact, de consulter le fournisseur de services ou un professionnel de la cybersécurité.
Parallèlement aux recommandations individuelles, il y a un débat plus large sur la transparence et les contrôles: certaines propositions réglementaires reposent sur des audits indépendants, des exigences en matière de localisation des données ou des structures de contrôle qui évitent l'influence de l'État sur les opérations critiques des plates-formes mondiales. L'expérience montre que des solutions techniques, juridiques et commerciales doivent être combinées pour atténuer les risques sans réduire l'innovation ni la concurrence internationale.
Bref, l'avertissement du FBI n'est pas une invitation à supprimer par décret toutes les applications développées en dehors des États-Unis. Mais un rappel que nous devons gérer activement nos empreintes digitales. Prendre des mesures d'hygiène numériques simples, tirer parti des outils de transparence des magasins d'application et utiliser le mot de passe à deux facteurs et les gestionnaires d'authentification réduisent considérablement les risques alors que les décisions de confiance et d'utilisation doivent tenir compte de l'origine de l'application, de sa politique en matière de données et du contexte réglementaire dans lequel elle opère.
Pour ceux qui ont besoin de ressources plus pratiques en matière de sécurité des appareils mobiles, la CISA présente des recommandations actualisées dans sa section sur la sécurité des appareils mobiles : https: / / www.cisa.gov / conseils / mobile-device-sécurité. Et si vous pensez avoir subi un incident, vous pouvez le signaler au FBI IC3 : https: / / www.ic3.gov /.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...