Vos données de thérapie exposées : des applis Android santé mentale cumulent 1 575 failles de sécurité

14,7 millions. C’est le nombre de téléchargements cumulés de dix applications Android de santé mentale analysées par la société de cybersécurité Oversecured. Des outils pour traverser une dépression, gérer des crises d’angoisse, tenir un journal de thérapie, bénéficier d’un accompagnement cognitivo-comportemental. Selon BleepingComputer, qui a relayé le rapport, ces applications sont truffées de failles.

1 575 vulnérabilités au total. 54 classées comme hautement sévères, 538 en sévérité moyenne, 983 en basse sévérité. L’une des applications présentait à elle seule plus de 85 failles de niveau moyen à élevé. Et au moins six d’entre elles promettent à leurs utilisateurs une confidentialité totale, ou un chiffrement sécurisé des données. Sur le papier.

Ce que vous confiez à votre téléphone

La gravité de l’affaire tient à la nature de ce que ces applications stockent. Pas des photos de vacances. Des transcriptions de séances de thérapie, des journaux d’humeur quotidiens, des calendriers de médicaments, des indicateurs d’automutilation. Dans certains cas, des données couvertes par le HIPAA, la loi américaine sur la confidentialité médicale.

« Les données de santé mentale présentent des risques uniques », déclare Sergey Toshin, fondateur d’Oversecured. « Sur le marché noir, les dossiers de thérapie se revendent à 1 000 dollars ou plus par dossier. Bien plus que les numéros de carte bancaire. » Un écart qui explique l’appétit des groupes cybercriminels pour ce type d’informations.

Parmi les dix applications analysées, on trouve des chatbots de thérapie IA, des outils de gestion de la dépression, des apps d’aide aux crises de panique, des applications de gestion du stress militaire et des assistants CBT. Des produits grand public qui se présentent comme des alternatives accessibles à la thérapie classique.

Des trous béants dans le code

Les failles identifiées par Oversecured ne sont pas théoriques. L’une des applications, téléchargée plus d’un million de fois, utilise Intent.parseUri() sur des données non validées, puis lance le composant résultant sans vérifier sa cible. N’importe quel attaquant peut ainsi forcer l’app à ouvrir des modules internes qui gèrent normalement les tokens d’authentification et les données de session.

D’autres apps stockent leurs données localement d’une façon lisible par n’importe quelle autre application installée sur le même téléphone. Notes CBT, journaux de séances, scores psychologiques. Accessibles en clair, sans aucune protection.

Certaines utilisent java.util.Random pour générer leurs tokens de session ou leurs clés de chiffrement. C’est la classe la moins sécurisée de Java pour ce type d’usage, considérée comme cryptographiquement faible depuis des années. Les tokens produits sont prévisibles.

Résultat des courses : la quasi-totalité des applications analysées n’intègre aucune détection des appareils rootés. Sur un téléphone compromis, n’importe quelle app tierce avec des droits root peut accéder à l’ensemble des données de santé stockées localement. Mood logs, indicateurs d’automutilation, notes de séances.

Ni noms, ni correctifs confirmés

Les scans ont été réalisés les 22 et 23 janvier 2026 sur les dernières versions disponibles des applications. Quatre d’entre elles seulement avaient été mises à jour en février. Les six autres n’avaient pas reçu de mise à jour depuis novembre 2025, parfois depuis septembre 2024. Oversecured ne peut pas confirmer si les failles ont depuis été corrigées.

BleepingComputer a choisi de ne pas révéler les noms des applications tant que la procédure de divulgation responsable est en cours. Les développeurs ont été contactés. On attend.

Ce n’est pas la première fois que des applications de santé mobile passent au travers des contrôles de Google Play. Mais la concentration de données aussi sensibles dans des outils aussi peu robustes pose une question simple : combien d’utilisateurs savent que leurs confessions numériques sont peut-être moins protégées que leurs messages Signal ?

Sources : BleepingComputer, Oversecured

Vos données de thérapie exposées : des applis Android santé mentale cumulent 1 575 failles de sécurité

Ce que vous confiez à votre téléphone

Des trous béants dans le code

Ni noms, ni correctifs confirmés

À lire aussi

Partager

Laisser un commentaire Annuler la réponse

Articles similaires

Le FBI neutralise 3 millions d’objets connectés transformés en armes

Le créateur de Signal va chiffrer vos conversations avec l’IA de Meta

Deux heures de fuite : un agent IA de Meta expose les données sans permission