Plus de 14,7 millions d’utilisateurs d’applications Android de santé mentale sont exposés à des failles de sécurité majeures. Une étude révèle 1 575 vulnérabilités dans dix applications populaires, mettant en danger des données thérapeutiques particulièrement recherchées par les cybercriminels.
Les applications de santé mentale sur Android cachent un secret inquiétant. Alors que ces outils promettent confidentialité et chiffrement pour protéger vos conversations thérapeutiques, la réalité est tout autre. L’entreprise de sécurité mobile Oversecured vient de publier une analyse alarmante portant sur dix applications de bien-être psychologique, totalisant près de 15 millions de téléchargements sur le Google Play Store.
Des failles par centaines dans vos apps de thérapie
Le bilan est sans appel : 1 575 vulnérabilités ont été identifiées, dont 54 classées comme hautement critiques et 538 de gravité moyenne. Pour vous donner une idée de l’ampleur du problème, voici la répartition par type d’application :
- Application de suivi d’humeur et habitudes (10 millions d’installations) : 337 failles détectées
- Chatbot thérapeutique IA (1 million d’installations) : 255 vulnérabilités
- Plateforme de santé émotionnelle IA (1 million d’installations) : 215 failles
- Outil de gestion de dépression (100 000 installations) : 157 vulnérabilités
Ces failles permettent aux attaquants d’intercepter vos identifiants de connexion, d’usurper des notifications, d’injecter du code malveillant ou encore de vous géolocaliser. Attention cela dit : aucune de ces vulnérabilités n’est classée « critique », ce qui signifie qu’elles nécessitent une action de votre part pour être exploitées.
Sergey Toshin, fondateur d’Oversecured, souligne un aspect particulièrement préoccupant : « Les dossiers thérapeutiques se vendent plus de 1 000 dollars pièce sur le dark web, bien plus que les numéros de cartes bancaires ». De quoi expliquer l’intérêt croissant des cybercriminels pour ces données.
Comment vos données thérapeutiques peuvent être compromises
Les chercheurs ont identifié plusieurs méthodes d’exploitation particulièrement vicieuses. Certaines applications analysent mal les liens et commandes externes, permettant à un attaquant d’accéder à des sections internes non prévues pour l’exposition publique. Concrètement, un pirate pourrait forcer l’application à ouvrir des zones protégées contenant vos jetons de connexion ou données de session.
Une application thérapeutique comptant plus d’un million de téléchargements utilise par exemple la fonction Intent.parseUri() sur une chaîne contrôlée de l’extérieur, sans validation du composant cible. Résultat : n’importe quel attaquant peut obliger l’app à ouvrir une activité interne, même si celle-ci n’est pas destinée à un accès externe.
D’autres applications stockent vos informations sensibles localement, de manière à ce que n’importe quelle app présente sur votre téléphone puisse les lire. Vos notes de thérapie cognitive comportementale, vos scores d’humeur, vos journaux personnels deviennent alors accessibles à tout logiciel malveillant installé sur votre appareil.
Les chercheurs ont également découvert des données de configuration non protégées (adresses des serveurs backend, URL Firebase codées en dur) et l’utilisation de générateurs de nombres aléatoires cryptographiquement faibles pour créer les clés de sécurité.
Un marché en pleine expansion mais mal sécurisé
Cette situation est d’autant plus problématique que le marché des applications de santé mentale explose littéralement. Évalué à 9,94 milliards de dollars en 2025, il devrait atteindre 22,73 milliards d’ici 2030, avec une croissance annuelle de 18 %. L’Amérique du Nord représente 47 % de ce marché, tandis que le segment « dépression et anxiété » domine les téléchargements.
Les chatbots IA, modules de thérapie personnalisée et outils de surveillance en temps réel séduisent de plus en plus d’utilisateurs en quête d’accompagnement psychologique accessible. Problème : seules quatre des dix applications analysées ont reçu une mise à jour ce mois-ci, les autres n’ayant pas été mises à jour depuis des mois, voire des années.
Pour limiter les risques, privilégiez les applications qui bénéficient d’un support actif et de mises à jour régulières. Le nombre de téléchargements et les avis positifs ne suffisent plus à garantir la sécurité d’une application. Reste à voir si les développeurs prendront ces alertes au sérieux et corrigeront rapidement ces vulnérabilités qui exposent vos données les plus intimes.
En tant que jeune média indépendant, Android DZ a besoin de votre aide. Soutenez-nous en nous suivant et en nous ajoutant à vos favoris sur Google News. Merci !
