Près de 200 applications iOS, majoritairement dédiées à l'intelligence artificielle, exposent les données personnelles de millions d'utilisateurs. Les chercheurs de CovertLabs ont développé Firehound, un registre qui identifie et catalogue les fuites massives causées par des bases de données mal sécurisées.
Un chercheur en OSINT baptisé Harrris0n a développé un outil qui recense les applications de l'App Store exposant les données de leurs utilisateurs. Ces fuites proviennent de bases de données et de serveurs cloud configurés sans authentification, rendant les informations accessibles à quiconque connaît leur adresse.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
406 millions d'enregistrements exposés par une seule application
Firehound répertorie actuellement 198 applications iOS, dont 196 divulguent activement des données personnelles. L'application "Chat & Ask AI", développée par Codeway, occupe la première place du registre avec plus de 406 millions d'enregistrements exposés, concernant plus de 18 millions d'utilisateurs. Les données accessibles incluent les noms, adresses électroniques et historiques complets de conversations avec les chatbots IA.
La faille est simple : les développeurs utilisent des bases de données ou des espaces de stockage cloud (Amazon S3, Firebase, etc.) sans activer les mécanismes d'authentification. Harrris0n a expliqué sur X que ces applications laissent leurs infrastructures "grandes ouvertes" sur internet, permettant à n'importe qui de consulter les schémas de données, le nombre exact d'enregistrements et le type d'informations stockées.
La majorité des applications concernées exploitent l'intelligence artificielle pour générer du contenu textuel ou visuel. Ces services collectent par nature des quantités massives de données sensibles - requêtes personnelles, questions médicales ou financières - qui se retrouvent exposées sans protection.
CovertLabs a volontairement limité l'accès public aux résultats complets de Firehound. Les utilisateurs doivent créer un compte et soumettre une demande d'accès aux ensembles de données restreints, examinée manuellement. La priorité est accordée aux journalistes, aux forces de l'ordre et aux professionnels de la sécurité.
Dans ses dispositifs de sécurité, Apple a beau passé au crible chacune des applications, il reste donc plusieurs éléments pour lesquels l'entreprise n'a pas la main. En dehors des mesures par l'éditeur sur la partie backend, nous rapprotions que de nombreux développeurs exposaient régulièrement leurs identifiants cloud en clair dans le code .
