Des millions de personnes utilisent des applications mobiles pour gérer leur santé mentale : suivi de l'humeur, outils de thérapie cognitive-comportementale, et partenaires virtuels pilotés par l'IV qui promettent un soutien pour la dépression, l'anxiété ou les crises de panique. Mais une analyse technique récente révèle que beaucoup de ces applications, même avec de grandes bases d'utilisateurs, laissent les données les plus intimes de leurs utilisateurs exposés.
La firme de sécurité mobile Oversecreed a examiné dix applications annoncées comme assistants de santé émotionnelle et a documenté un total de 1 575 vulnérabilités réparties entre les résultats de gravité faible, moyenne et élevée. Bien qu'aucune des défaillances identifiées n'ait été jugée critique, le nombre et la nature des problèmes - des fuites d'identité aux réglages de texte plat - peuvent faciliter les attaques qui finissent par exposer les antécédents thérapeutiques, les dossiers d'humeur, les notes de séance et d'autres informations que beaucoup considèrent extrêmement sensibles. Les détails de l'étude et la couverture médiatique se trouvent dans les rapports publics de Sursécurisé et dans la note publiée par BleepingComputer: Sursacrés et Calculateur.
Parmi les vulnérabilités identifiées figurent les problèmes classiques de sécurité mobile qui, combinés, sont dangereux dans un contexte clinique. Certaines applications traitent UR est fourni par l'utilisateur sans les valider correctement, permettant à un attaquant de forcer l'ouverture de composants internes conçus pour une utilisation exclusive de l'application elle-même. Dans un cas, l'utilisation dangereuse d'Intro.parseUri () avec des chaînes contrôlées par l'extérieur pourrait permettre à un attaquant d'accéder à des activités internes qui traitent des jetons ou des sessions, avec le risque de filtrer les dossiers thérapeutiques. D'autres défaillances comprennent le stockage local accessible par toute application de périphérique, les clés ou les paramètres intégrés dans les ressources APK et l'utilisation du java.util. Classe aléatoire pour générer des jetons ou des clés, une pratique cryptographique dangereuse.
La valeur des données sur la santé mentale sur le marché illicite est réelle et préoccupante: Selon les chercheurs cités par Oversecred, les dossiers thérapeutiques sont beaucoup plus élevés que les autres données volées, rendant les utilisateurs de ces applications attrayantes cibles pour les criminels. Cette même recherche avertit que la plupart des applications analysées manquent même de mécanismes de base tels que la détection d'appareils enracinés, laissant l'information locale entièrement à la merci de tout logiciel avec des privilèges élevés dans le terminal.
Dans les dix applications révisées, 54 problèmes de gravité élevée, 538 problèmes de moyenne et 983 problèmes de faible importance ont été détectés. Parmi eux, des applications avec des dizaines de millions d'installations et d'autres avec des centaines de milliers; ensemble, ils étaient plus de 14,7 millions de téléchargements selon l'observation de BleepingComputer. Malgré cette popularité, seulement quatre des demandes avaient reçu une mise à jour récente au moment de l'analyse, soulevant des questions sur l'entretien et la réponse aux défaillances.
Pour ceux qui utilisent ces outils, la situation pose une disjonction douloureuse : l'accessibilité et l'aide immédiate que de nombreuses applications offrent peuvent être vitales, mais la promesse de "conversations privées" ou de "chats chiffrés" est renversée si l'implémentation technique est faible. Les journalistes qui ont couvert l'affaire ont choisi de ne pas divulguer les noms des applications pendant que la divulgation coordonnée des vulnérabilités est en cours, de sorte que les utilisateurs ne peuvent pas toujours savoir avec certitude quel produit est en danger.
Que peuvent faire les utilisateurs maintenant? Premièrement, il convient de vérifier que les applications sont mises à jour et de lire attentivement les politiques de confidentialité et la section sécurité ou transparence du développeur. Si une application traite des données cliniques très sensibles, une pratique prudente consiste à limiter la quantité d'information stockée sur le mobile, à éviter les fonctions qui conservent les transcriptions complètes de la session et à examiner les autorisations qui s'appliquent. La mise à jour du système d'exploitation, l'utilisation de blocs biométriques ou d'appareils et l'absence d'applications sources peu fiables réduisent également la surface d'attaque. Pour ceux qui veulent approfondir la façon d'évaluer la sécurité mobile d'un point de vue technique, les projets communautaires comme le Top 10 mobile OWASP offrent de bonnes lignes directrices sur les menaces et l'atténuation : OWASP Top 10 mobile.
Du point de vue du promoteur et des entreprises qui offrent des services de santé numériques, le message est clair : les déclarations de confidentialité ne suffisent pas; il faut démontrer qu'elles sont mises en oeuvre par des pratiques sécuritaires. Cela signifie ne pas inclure de secrets ou de paramètres dans le texte plat dans les binaires, valider toute entrée externe - y compris Uris -, en utilisant des sources cryptographiques robustes telles que SecureRansom, le chiffrement des données au repos et en transit, la mise en œuvre de la détection d'environnements compromis et la rotation des références, et l'audit régulier des unités et des librairies. Google Jouer oblige également les développeurs à déclarer et protéger les données sensibles dans la section de sécurité de l'onglet app; connaître et mettre en œuvre ces politiques fait partie du devoir d'un fournisseur sérieux: Section de sécurité Google Play.
Les applications de santé mentale ont ouvert une porte importante pour démocratiser le soutien thérapeutique, mais cette porte doit être verrouillée : l'information qu'ils stockent et traitent est parmi les plus sensibles dans le domaine numérique. Si un service promet la confidentialité, cette promesse doit être soutenue par un code et une architecture solides, pas seulement par des messages dans le magasin d'applications. Pendant ce temps, les journalistes, les chercheurs et les régulateurs continueront à surveiller et à exiger la transparence afin que les utilisateurs puissent compter sans être inutilement exposés.
Si vous voulez lire le rapport technique et la couverture originale pour former votre propre opinion, vous pouvez consulter les ressources citées par les chercheurs et la presse spécialisée: le site Oversecured ( sursecured.com) et la pièce de BleepingComputer qui résume les résultats ( bleepingcomputer.com).
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...