Présentées comme des espaces d’écoute confidentiels, plusieurs applications de santé mentale téléchargées des millions de fois sur le Google Play Store présentent en réalité des vulnérabilités susceptibles d’exposer des données thérapeutiques critiques.
Entre le 22 et le 23 janvier 2026, la société de sécurité mobile Oversecured a analysé dix applications Android dédiées au suivi émotionnel, à la thérapie en ligne ou à l’accompagnement psychologique. Ensemble, elles cumulent plus de 14,7 millions de téléchargements… et 1 575 failles, dont 538 de gravité moyenne et 54 de niveau élevé, susceptibles, en cas d’exploitation, d’exposer des transcriptions de séances ou de conversations avec des chatbots, des notes issues de thérapies cognitivo-comportementales, des journaux d’humeur, des scores psychologiques, mais également des données de santé liées au suivi médical.
Des failles nombreuses, sur des applis parfois massivement diffusées
L’enquête, relayée par BleepingComputer, repose sur l’analyse des APK des versions les plus récentes disponibles au moment des tests. Oversecured indique y avoir identifié des schémas de vulnérabilités relevant de nombreuses catégories, pouvant conduire à l’interception d’identifiants, à l’usurpation de notifications, à des injections HTML ou encore à la localisation de l’utilisateur.
Dans le détail, l’échantillon mêle des services très grand public de suivi de l’humeur et des habitudes à des outils plus spécialisés de gestion de l’anxiété, de suivi des symptômes ou de thérapie cognitivo-comportementale, tous disponibles sur le Google Play Store. L’application la plus diffusée, téléchargée plus de 10 millions de fois, cumule à elle seule 337 vulnérabilités, dont 1 de gravité élevée et 147 de gravité moyenne.
Parmi les applications au-dessus du million d’installations, un chatbot de thérapie et une plateforme de santé émotionnelle, tous deux liés à l’accompagnement psychologique par IA, totalisent respectivement 255 failles, dont 23 de gravité élevée et 63 de gravité moyenne, et 215, dont 13 de gravité élevée et 124 de gravité moyenne, tandis qu’une application de thérapie en ligne et de communauté de soutien, elle aussi au-dessus du million de téléchargements, en compte 98, dont 7 de gravité élevée et 20 de gravité moyenne.
Le rapport détaillé transmis à BleepingComputer évoque notamment des défauts de cloisonnement et des risques d’interception locale qui pourraient permettre à des applications tierces malveillantes de capter des informations échangées par l’appli de santé mentale, comme l’historique des conversations, des journaux d’humeur ou des notes liées au suivi psychologique.
À ces risques s’ajoutent des problèmes de stockage local insuffisamment protégé et des paramètres techniques laissés en clair dans les fichiers des applications. Bref, autant de faiblesses pouvant faciliter un accès non autorisé aux données enregistrées sur l’appareil, y compris des informations de santé liées au suivi médical, comme des calendriers de prise de médicaments ou des indicateurs d’automutilation.
Des correctifs encore incertains dans un secteur en pleine expansion
Les noms des applications concernées ne sont pas connus pour le moment, Oversecured indiquant avoir engagé une divulgation responsable pour laisser aux éditeurs le temps de corriger les failles signalées. L’état des correctifs n’est toutefois pas documenté publiquement, et les dates de mise à jour relevées au moment des vérifications rapportées par BleepingComputer montrent un suivi très inégal, avec seulement quatre applications mises à jour en février 2026, contre six autres non actualisées depuis novembre 2025, voire septembre 2024.
Un manque de visibilité peu rassurant alors que ces services gagnent du terrain depuis plusieurs années, non pas uniquement par effet de mode lié au bien-être et à l’attrait des chatbots conversationnels, mais aussi et surtout parce qu’ils offrent une solution immédiate, accessible à toute heure, souvent gratuite ou moins coûteuse qu’une consultation, dans un contexte de dégradation de la santé mentale et d’accès inégal aux soins psychologiques.
Santé publique France estime ainsi qu’en 2024, 16 % des adultes de 18 à 79 ans ont vécu un épisode dépressif caractérisé, soit près d’un adulte sur six, et qu’une part importante des personnes concernées (56%) ne consulte pas de professionnel de santé. Évidemment, l’idée n’est pas ici de disqualifier ces outils, mais de rappeler qu’ils manipulent des données médicales et psychologiques extrêmement sensibles. Prudence donc.
Sources : Oversecured, BleepingComputer, Santé publique France
