Les données de millions d’utilisateurs exposées par des dizaines d’applications iPhone
Un problème majeur de sécurité affecte l’écosystème iOS : près de 200 applications exposent les données sensibles de millions d’utilisateurs à cause de configurations défaillantes. Les chercheurs de CovertLabs ont créé Firehound, un registre spécialisé qui détecte et documente ces fuites massives provenant de bases de données insuffisamment protégées.
Un chercheur en OSINT dénommé Harrris0n a mis au point un système permettant d’identifier les applications présentes sur l’App Store qui divulguent involontairement les informations personnelles de leurs utilisateurs. Ces expositions résultent de serveurs cloud et de bases de données configurés sans authentification, rendant l’accès trivial pour quiconque dispose de l’adresse internet correspondante.
L’application Chat & Ask AI enregistre le pire bilan avec plus de 406 millions d’enregistrements accessibles publiquement, affectant environ 18 millions d’utilisateurs. Les informations compromises comprennent les identités, adresses électroniques ainsi que la totalité des échanges conversationnels avec les assistants intelligents. Ce classement illustre l’ampleur du problème au sein du portefeuille applicatif iOS.
Le mécanisme des fuites demeure élémentaire : les développeurs déploient des solutions de stockage cloud ou des bases de données, notamment Amazon S3 ou Firebase, sans activer les protections d’authentification requises. Cette négligence laisse les infrastructures entièrement accessibles en ligne, permettant à des tiers de consulter les schémas de données, le volume précis d’enregistrements et la nature des informations entreposées.
La majorité de ces applications exploitent les capacités de l’intelligence artificielle pour produire du contenu texte ou visuel. Par conséquent, elles accumulent des volumes considérables d’informations délicates : interrogations intimes, problématiques médicales, questions financières. Toutes ces données sensibles restent exposées sans protection adéquate, créant des risques majeurs pour la vie privée des utilisateurs.
CovertLabs a délibérément restreint l’accès public aux données complètes de Firehound. Les consultations exigent une inscription préalable et une demande d’accès révisée manuellement. Les priorités sont données aux journalistes, aux autorités policières et aux experts en cybersécurité pour éviter que ces informations sensibles ne tombent entre les mains malveillantes.
