- Des chercheurs en cybersécurité ont découvert des dizaines d'applications mobiles qui fuitent des données
- Les messages privés de plus de 20 millions de personnes ont été exposés
- Les applications concernées ont été regroupées sous le nom de Firehound
Apple met souvent en avant la sécurité de son App Store pour justifier auprès des régulateurs son refus d’ouvrir l’écosystème à des boutiques concurrentes. L’argument repose sur le fait que la firme vérifie les applications avant publication et retire celles qui traitent mal les données personnelles. Pourtant, une découverte récente montre que l’App Store n’est pas aussi imperméable qu’il y paraît.
D’après les chercheurs en malware de VX Underground sur X, l’entreprise de cybersécurité CovertLabs travaille actuellement à répertorier les applications iOS qui laissent fuiter les données des utilisateurs. Au moment de la publication sur X, 198 applications problématiques avaient été identifiées, les principales étant toutes liées de près ou de loin à l’intelligence artificielle (IA).
La pire d’entre elles s’appelle Chat & Ask AI, développée par Codeway. Selon CovertLabs, cette app aurait exposé l’ensemble des historiques de conversation de près de 18 millions d’utilisateurs – soit environ 380 millions de messages – ainsi que leurs numéros de téléphone et adresses mail. Ces informations seraient « entièrement accessibles à toute personne qui sait où chercher », ce qui, compte tenu de la nature souvent sensible des échanges avec des IA, représente selon CovertLabs « le pire scénario possible ».
L’application éducative YPT – Study Group est également pointée du doigt : des données appartenant à plus de deux millions d’utilisateurs auraient fuité, incluant messages, jetons d’IA, identifiants et clés utilisateurs, selon VX Underground.
CovertLabs a mis en place un registre des applications concernées, baptisé Firehound. Il est possible d’y consulter des échantillons de données expurgées, révélant la nature des fuites et les applications les plus touchées. Une partie des informations est sensible et nécessite une demande d’accès pour être consultée.
CovertLabs invite les développeurs d’applications concernées à les contacter. Dès que c’est fait, l’application est retirée du registre et une assistance est fournie pour corriger les failles.
Un problème pour les utilisateurs, les développeurs... et pour Apple
Il n’est pas étonnant que la majorité des applications les plus négligentes – comme Chat & Ask AI, GenZArt, Kmstry ou Genie – soient liées à l’intelligence artificielle. Beaucoup de développeurs ont voulu profiter au plus vite de la vague IA, quitte à bâcler la sécurité pour accélérer la mise en ligne sur l’App Store.
Mais une part de responsabilité incombe aussi à Apple. L’entreprise revendique une sécurité supérieure à celle du Google Play Store, souvent critiqué pour abriter des applications malveillantes. Pourtant, l’App Store n’est pas exempt de défauts : le fait que des apps aussi vulnérables aient passé la phase de validation ternit cette image sécuritaire.
Les utilisateurs concernés devraient immédiatement cesser d’utiliser ces applications. Il ne sera pas possible d’effacer les données déjà exposées, mais il est encore temps d’éviter d’en ajouter davantage. Il est vivement recommandé d’utiliser un gestionnaire de mots de passe fiable et de modifier ceux associés aux adresses mail utilisées sur les apps compromises. Toute personne de l’entourage utilisant ces services devrait être informée des risques.
Espérons que les développeurs touchés sécuriseront rapidement leurs applications – et que cela servira de leçon à ceux qui suivent.
