L'app de suivi menstruel Glow a exposé les données de 25 millions de personnes

Maxence Glineur
15 février 2024 à 20h07
12
Les applications de suivi de l'ovulation et de la fertilité sont légion sur smartphone © LariBat / Shutterstock
Les applications de suivi de l'ovulation et de la fertilité sont légion sur smartphone © LariBat / Shutterstock

Il aurait été possible d'accéder à l'âge, au nom ou à l'adresse des utilisateurs. Tout cela en raison d'une faille de sécurité au niveau d'une API.

Connaissez-vous Glow ? L'application prétend être « l'outil de suivi des règles et de fertilité le plus complet au monde ». Pour ce faire, les utilisateurs doivent fournir des informations relativement confidentielles, et l'on pourrait penser que les développeurs ont mis en place les mesures de protection nécessaires.

Mais, en réalité, ce n'est pas tout à fait le cas, et l'entreprise n'en est pas à sa première fois.

Un problème resté silencieux pendant plusieurs mois

Le chercheur en sécurité Ovi Liber s'est penché sur le cas du forum en ligne de Glow. Il y a découvert une faille dans l'une des API de l'entreprise, connue sous le nom d'IDOR pour « Insecure direct object reference ». Ce type de vulnérabilité survient lorsque qu'une telle interface utilise des identifiants pour accéder directement à un élément d'une base de données sans vérifier le contrôle d'accès. Une porte semi-fermée facile à ouvrir, selon le chercheur.

Celui-ci a expliqué à TechCrunch qu'il n'était pas censé pouvoir accéder aux données renvoyées par l'API concernée, n'étant ni employé de Glow, ni développeur. De plus, cette vulnérabilité rend accessible à tous des informations importantes sur les membres, comme leur âge, leur lieu de résidence, leur identifiant sur l'application et les images téléchargées sur le forum. Cela concernerait pas moins de 25 millions de personnes.

Glow a été alerté du problème en octobre 2023, et l'a corrigé une semaine plus tard, une information confirmée par Liber. Cependant, l'entreprise n'a pas choisi de communiquer avec ses utilisateurs sur le sujet. Du moins, pas avant que le chercheur n'en parle sur son blog ce lundi, et que nos confrères de TechCrunch ne rapportent l'information par la suite. Aïe.

Une entreprise habituée aux fuites de données

Conséquence : pour Eva Galperin, directrice de la cybersécurité à l'Electronic Frontier Foundation, une organisation à but non lucratif de défense des droits numériques, les utilisateurs de Glow auraient des raisons de remettre en question la fiabilité du service. Ils « pourraient sérieusement reconsidérer leur utilisation s'ils savaient que ces données ont été divulguées à leur sujet », déclare-t-elle.

D'autant que ce n'est pas la seule défaillance de l'application en la matière. En 2016 déjà, une vulnérabilité avait permis d'accéder à des informations très sensibles sur les inscrits, comme leurs antécédents de fausses couches et d'avortements, ou encore sur leur vie sexuelle. En 2020, Glow a été condamné à une amende de 250 000 dollars après avoir été accusé de « permettre l'accès aux informations des utilisateurs sans leur consentement », y compris des données relatives à leur santé.

Et vous, ferez ou feriez-vous encore confiance à Glow après tout cela ?

Les meilleures applications pour suivre vos cycles menstruels
A découvrir
Les meilleures applications pour suivre vos cycles menstruels
14 mars 2023 à 14:04
Comparatifs services

Source : TechCrunch, Blog de Ovi Liber

Maxence Glineur

Maxence Glineur

Geek hyper connecté et féru de podcasts, je suis toujours en train de lire ou écouter des points infos en tout genre. Entre histoire, tech, politique, musique, jeux-video et vulgarisation scientifique...

Lire d'autres articles

Geek hyper connecté et féru de podcasts, je suis toujours en train de lire ou écouter des points infos en tout genre. Entre histoire, tech, politique, musique, jeux-video et vulgarisation scientifique : toute l'actualité (ou presque) attise ma curiosité. Sinon, j'aime le rock et le lofi, les game-nights toujours trop longues, les bons films et les nanards.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (12)

Neferith
Ils inventent vraiment n’importe quoi comme App aujourd’hui xD
Rainforce
L’app de suivi menstruel Glow<br /> Une App qui a des fuites …
mcbenny
Par contre, vous voudrez bien rectifier le titre, ce n’est pas l’application qui a exposé des données, mais une API du forum de discussion sur l’application.
ben.j
Chaque semaine une entreprise se fait pirater<br /> Qund il s’agit de sites comme ça Ça passe. Il Suffit de remplir des informations fictives<br /> Mais qd il s’agit de la CAF. la sécurité sociale, la banque etc… C’est autrement plus grave
Mel92
Pour Maxence: Clubic nous habitue à l’inclusivité à marche forcée et au mépris de la langue française dans la plupart des articles, et c’est très fâcheux. Mais ici, c’est justement l’occasion d’utiliser enfin le féminin : il n’y a que des utilisatrices sur ce service vérolé (et si on y trouve des utilisateurs, il faut probablement envoyer la police).
PEPSIMAX
Bravo, ton avis est saignant !
mrassol
Est ce qu’on pourrait avoir l’avis de femmes sur l’utilité de ces applis (vrai question).
MaxenceG
Bonjour Mel92,<br /> C’est un très bon point ! Mais attendez avant d’appeler la police, je vous explique.<br /> Les personnes qui n’ont pas besoin des fonctionnalités principales de Glow peuvent également s’y inscrire. Ils auront principalement accès à une base de connaissances et à divers articles, mais aussi aux informations et calendriers de leur partenaire s’ils y consentent (c’est d’ailleurs cette option de partage qui est à l’origine des fuites de données de 2016 mentionnées dans l’article). Je viens également de tomber sur un article de 2015 qui mentionne le suivi de la fertilité masculine sur l’application, mais je n’en ai pas trouvé trace lors de mes vérifications personnelles d’hier.<br /> Il s’agit donc d’une base d’utilisateurs dans le cas de Glow.
Mel92
Bravo Maxence et merci. Je ne m’attendais pas à cette réponse et j’avais tord (mauvaise langue que je suis). J’avais même été jusqu’à imaginer une traduction médiocre de l’anglais, c’est dire si je peux penser à mal (mauvaise langue et un peu idiot en fait).<br /> En réalité, je n’avais pas compris l’article alors qu’il était clair. Tout cela car je supposais une distorsion tendancieuse de la langue qu’il ne contenait pas. J’appelle de mes vœux une aussi bonne maitrise du neutre sur Clubic que dans cet article.
ben.j
Ah oui, je vois déjà le use case<br /> Chéri tu te couches deja ?<br /> Bah oui, que veux tu qu’on fasse<br />
MaxenceG
Bonjour Mel92,<br /> Pas de souci, c’était un commentaire intéressant et c’est avec plaisir que j’y ai répondu. Pour être honnête, j’avais mis « utilisatrice » en premier lieu, un choix par défaut évident étant donné la nature de l’application en question. Mes sources étant effectivement en anglais, l’erreur pouvait rapidement être faite.<br /> Heureusement, j’ai encore assez de place sur mon smartphone pour tester des applications à la volée
kiddass33
En quoi est-ce que c’est n’importe quoi comme app ?<br /> Le suivi de tes règles par l’application ne t’as pas convaincu ?
Neferith
Je suppose que c’est du second degrès. Mais bon c’est vrai qu’aujourd’hui les gens ont meme besoin d’une app pour réfléchir
kiddass33
Ce n’est pas une app qui réfléchi à ta place, c’est plus un outils de suivi donc ce n’est pas inutile. Ca permet aux femmes d’avoir une meilleure visibilité sur leur période règle et d’ovulation. Et c’est plus sexy qu’un tableur Excel.
Neferith
Et ça pompe tes données.<br /> Tu es une femme et tu veux suivre tes périodes de règles ? Un calendrier et un peu de mémoire suffit et t’as moins de chose d’installer un mouchard de plus sur ton tel.
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Mastodon, l'alternative libre à Twitter, victime d'une faille critique Mastodon, l'alternative libre à Twitter, victime d'une faille critique
Les données de 2,6 millions de comptes Duolingo ont fuité, à cause d'une faille qui ne date pas d'hier ! Les données de 2,6 millions de comptes Duolingo ont fuité, à cause d'une faille qui ne date pas d'hier !
LastPass : une gueule de bois qui n'en finit plus LastPass : une gueule de bois qui n'en finit plus
Immersion au cœur du dark web : que contient-il en 2024 ? Tous les dangers révélés en images Immersion au cœur du dark web : que contient-il en 2024 ? Tous les dangers révélés en images