Fuite des cerveaux : les failles des applications de santé mentale

En février 2026, la société de cybersécurité Oversecured a publié un rapport qui donnerait envie de réinitialiser son téléphone et de déménager dans une cabane isolée au fond des bois. Des chercheurs ont passé au crible 10 applications Android populaires dédiées à la santé mentale, allant des outils de suivi de l’humeur et des thérapeutes basés sur l’IA aux outils de gestion de la dépression et de l’anxiété, et ont découvert… 1 575 vulnérabilités ! Cinquante-quatre de ces failles ont été classées comme critiques. Compte tenu des statistiques de téléchargement sur Google Play, jusqu’à 15 millions de personnes pourraient être concernées. Le plus surprenant dans tout cela ? Six des dix applications testées promettaient explicitement aux utilisateurs que leurs données étaient « entièrement chiffrées et protégées de manière sécurisée ».

Nous décortiquons ce scandaleux phénomène de « fuites des cerveaux » : ce qui peut réellement fuiter, comment cela se produit et pourquoi l' »anonymat » de ces services relève le plus souvent du simple mythe marketing.

Ce qui a été trouvé dans les applications

Oversecured est une entreprise spécialisée dans la sécurité des applications mobiles qui utilise un analyseur spécialisé pour examiner les fichiers APK à la recherche de modèles de vulnérabilité connus dans des dizaines de catégories. En janvier 2026, des chercheurs ont passé au crible dix applications de suivi de la santé mentale disponibles sur Google Play, et les résultats ont été, pour ainsi dire, « spectaculaires ».

Anatomie des failles

Les vulnérabilités découvertes sont diverses, mais elles se résument toutes à une seule chose : donner aux pirates accès à des données qui devraient être protégées.

Premièrement, l’une des vulnérabilités permet à un pirate d’accéder à toutes les activités internes de l’application, même celles qui ne sont pas destinées à être vues par des tiers. Cela ouvre la porte au détournement des jetons d’authentification et des données de session utilisateur. Une fois qu’un pirate informatique dispose de ces informations, il peut en principe accéder au dossier thérapeutique de l’utilisateur.

Un autre problème concerne le stockage local des données, qui n’est pas sécurisé, les autorisations de lecture étant accordées à toute autre application sur l’appareil. Autrement dit, cette application de lampe de poche ou cette calculatrice installée au hasard sur votre smartphone pourrait potentiellement accéder à vos journaux de thérapie cognitivo-comportementale (TCC), à vos notes personnelles et à vos évaluations d’humeur.

Les chercheurs ont également découvert des données de configuration non chiffrées intégrées directement dans les fichiers d’installation APK. Cela incluait les points de terminaison de l’API principale et les URL codées en dur pour les bases de données Firebase.

En outre, plusieurs applications ont été prises en flagrant délit d’utilisation de la classe java.util.Random, qui présente des failles cryptographiques, pour générer des jetons de session et des clés de chiffrement.

Enfin, la plupart des applications testées ne disposaient pas de fonctionnalité de détection du root/jailbreak. Sur un appareil rooté, toute application tierce disposant de privilèges root pourrait obtenir un accès total à l’ensemble des données médicales stockées localement.

Il est surprenant de constater que, sur les dix applications analysées, seules quatre ont fait l’objet de mises à jour en février 2026. Les autres n’ont pas reçu de correctif depuis novembre 2025, et l’une d’entre elles n’a pas été mise à jour depuis septembre 2024. Dans ce secteur, 18 mois sans correctif de sécurité, c’est une éternité, surtout pour une application qui héberge des journaux d’humeur, des transcriptions de séances de thérapie et des calendriers de prise de médicaments.

Voici un petit rappel de la gravité des conséquences que peut avoir l’utilisation abusive de ce type de données. En 2024, le monde de la technologie a été secoué par une attaque élaborée contre XZ Utils, un module essentiel présent dans pratiquement tous les systèmes d’exploitation basés sur le noyau Linux. Le pirate a réussi à faire pression sur le responsable du projet pour qu’il lui cède l’autorisation de modification du code, en tirant parti du fait que le développeur avait publiquement admis souffrir d’épuisement professionnel et manquer de motivation pour poursuivre le projet. Si cette attaque avait abouti, les dégâts auraient été colossaux, étant donné qu’environ 80 % des serveurs dans le monde fonctionnent sous Linux.

Qu’est-ce qui pourrait être divulgué ?

Quelles sont les données que ces applications collectent et stockent ? Il s’agit du genre d’informations que vous ne partageriez probablement qu’avec un professionnel de santé de confiance : transcriptions de séances de thérapie, journaux d’humeur, calendriers de planification de la prise de médicaments, indicateurs d’automutilation, notes de TCC et diverses échelles d’évaluation clinique.

Déjà en 2021, des dossiers médicaux complets se vendaient sur le Dark Web au prix de 1 000 $ US pièce. À titre de comparaison, un numéro de carte de crédit volé se vend entre 5 et 30 $ US. Les dossiers médicaux contiennent un ensemble complet de données d’identité : nom, adresse, informations relatives à l’assurance et antécédents médicaux. Contrairement à une carte de crédit, on ne peut pas vraiment « remplacer » un dossier médical. De plus, la fraude médicale est réputée pour être difficile à détecter. Alors qu’une banque peut signaler une transaction suspecte en quelques heures, une demande d’indemnisation frauduleuse pour un traitement fantôme peut passer inaperçue pendant des années.

Nous avons déjà vu ce film

L’étude Oversecured n’est pas seulement une histoire d’horreur isolée.

En 2020, Julius Kivimäki a piraté la base de données de la clinique de psychothérapie finlandaise Vastaamo, emportant avec lui les dossiers de 33 000 patients. Lorsque la clinique a refusé de verser une rançon de 400 000 €, J. Kivimäki a commencé à envoyer des menaces directes aux patients : « Payez 200 € en bitcoins dans les 24 heures, sinon vos dossiers seront rendus publics ». Finalement, il a quand même divulgué l’intégralité de la base de données sur le Dark Web. Au moins deux personnes se sont donné la mort, et la clinique a été contrainte de déposer le bilan. Julius Kivimäki a finalement été condamné à six ans et trois mois de prison, ce procès ayant battu tous les records en Finlande en raison du nombre impressionnant de victimes impliquées.

En 2023, la Commission fédérale du commerce (FTC) des États-Unis a infligé une amende de 7,8 millions de dollars au géant de la thérapie en ligne BetterHelp. Bien qu’elle ait affirmé sur sa page d’inscription que les données des utilisateurs étaient strictement confidentielles, l’entreprise a été prise en flagrant délit de transmission d’informations personnelles (notamment des réponses à des questionnaires sur la santé mentale, des emails et des adresses IP) à Facebook, Snapchat, Criteo et Pinterest à des fins de diffusion d’annonces ciblées. Une fois la tempête passée, les 800 000 utilisateurs concernés ont reçu une compensation totale de… 10 $ US.

En 2024, la FTC a décidé de sanctionner la société de télésanté Cerebral en lui infligeant une amende de 7 millions de dollars. Grâce à la technologie de suivi des pixels, l’entreprise Cerebral a divulgué les données de 3,2 millions d’utilisateurs à LinkedIn, Snapchat et TikTok. Parmi les données récupérées figuraient des noms, des antécédents médicaux, des ordonnances, des dates de rendez-vous et des informations d’assurance. Et la cerise sur le gâteau ? L’entreprise a envoyé des cartes postales promotionnelles (sans enveloppe) à 6 000 patients, ce qui a indirectement révélé que les destinataires suivaient un traitement psychiatrique.

En septembre 2024, Jeremiah Fowler, chercheur en sécurité informatique, a découvert par hasard une base de données accessible à tous appartenant à Confidant Health, un prestataire spécialisé dans le traitement des addictions et les services de santé mentale. La base de données contenait des enregistrements audio et vidéo de séances de thérapie, des transcriptions, des notes psychiatriques, des résultats de tests de dépistage de drogues et même des copies de permis de conduire. Au total, 5,3 téraoctets de données, soit 126 000 fichiers ou 1,7 million d’enregistrements, étaient accessibles sans mot de passe.

Pourquoi l’anonymat est une illusion

Les développeurs adorent répéter cette phrase : « Nous ne partageons jamais vos données personnelles avec qui que ce soit. » Techniquement, cela pourrait être vrai, mais en réalité, ils partagent des « profils anonymisés ». Le hic ? La désanonymisation de ces données n’est plus vraiment compliquée. Des études récentes révèlent que l’utilisation des grands modèles de langage (LLM) est devenue monnaie courante pour lever l’anonymat.

Même le processus d’ « anonymisation » lui-même est bien souvent chaotique. Une étude menée par l’université Duke a révélé que des courtiers en données commercialisent ouvertement les données relatives à la santé mentale des Américains. Sur les 37 courtiers interrogés, 11 ont accepté de vendre des données liées à des diagnostics spécifiques (tels que la dépression, l’anxiété et le trouble bipolaire), à des paramètres démographiques et, dans certains cas, même à des noms et adresses personnelles. Les prix commençaient à partir de 275 $ US pour 5 000 entrées agrégées.

Selon la Fondation Mozilla, en 2023, 59 % des applications de santé mentale les plus populaires ne respectaient même pas les normes de confidentialité les plus élémentaires, et 40 % d’entre elles étaient en réalité moins sécurisées que l’année précédente. Ces applications permettaient de créer un compte via des services tiers (tels que Google, Apple et Facebook), comportaient des politiques de confidentialité étrangement succinctes qui passaient sous silence les détails relatifs à la collecte de données, et exploitaient une petite faille astucieuse : certaines politiques de confidentialité s’appliquaient strictement au site Internet de l’entreprise, mais pas à l’application elle-même. En résumé, vos clics sur le site étaient « protégés », mais vos actions au sein de l’application ne l’étaient pas.

Comment vous protéger

Éliminer complètement ces applications de votre vie est, bien sûr, la solution la plus sûre, mais ce n’est pas la plus réaliste. De plus, rien ne garantit que vous puissiez réellement effacer définitivement les données déjà collectées, même si vous supprimez votre compte. Nous avons déjà abordé le processus fastidieux consistant à faire supprimer vos informations des bases de données des courtiers en données. C’est possible, mais préparez-vous à un véritable casse-tête. Alors, comment rester en sécurité ?

• Vérifiez les autorisations avant de cliquer sur  » Installer « . Dans Google Play, accédez à Description de l’application → À propos de l’appli → Autorisations de l’application. Une application de suivi de l’humeur n’a aucune raison de demander l’accès à votre appareil photo, à votre microphone, à vos contacts, ni à votre position GPS précise. Si c’est le cas, son objectif n’est pas de veiller à votre bien-être, mais de collecter des données.
• Lisez attentivement la politique de confidentialité. Nous comprenons bien que personne ne lit ces déclarations de plusieurs pages. Mais lorsqu’un service met la main sur vos pensées les plus intimes, mieux vaut y jeter un coup d’œil. Soyez attentif aux avertissements : l’entreprise partage-t-elle des données avec des tiers ? Pouvez-vous supprimer manuellement vos données ? La politique s’applique-t-elle explicitement à l’application elle-même, ou uniquement au site Internet ? Vous pouvez toujours soumettre le texte de la politique à une IA et lui demander de signaler tout élément susceptible de compromettre la confidentialité.
• Vérifiez la date de la dernière mise à jour. Une application qui n’a pas été mise à jour depuis plus de six mois est probablement une proie facile pour les vulnérabilités non corrigées. Pour rappel : six des dix applications testées par Oversecured n’avaient pas été mises à jour depuis des mois.
• Désactivez toutes les options non essentielles dans les paramètres de confidentialité de votre téléphone. Chaque fois que l’on vous le demande, sélectionnez toujours « Demander à l’app de ne pas me suivre ». Lorsqu’une application vous demande activement d’autoriser un type de suivi spécifique (en prétendant que c’est pour une « optimisation interne »), il s’agit presque toujours d’une ruse marketing plutôt que d’une nécessité fonctionnelle. Après tout, si l’application ne fonctionne vraiment pas sans une autorisation particulière, vous pouvez toujours l’activer plus tard.
• N’utilisez pas les services « Se connecter avec… ». L’authentification via Facebook, Apple, Google ou Microsoft génère des identifiants supplémentaires et offre aux entreprises une occasion en or de recouper vos données entre différentes plateformes.
• Considérez tout ce que vous écrivez comme une publication sur les réseaux sociaux. Si vous ne souhaitez pas qu’un inconnu sur Internet puisse lire ce que vous écrivez, vous ne devriez probablement pas entrer ces informations dans une application qui comporte plus de 150 vulnérabilités et qui n’a pas reçu de correctif depuis un an.

Autres informations à connaître sur les paramètres de confidentialité et le contrôle de vos données personnelles en ligne :

• Courtiers en données de géolocalisation : leur rôle et les conséquences des fuites
• Pourquoi les courtiers en données établissent-ils des dossiers sur vous, et comment les en empêcher ?
• Comment disparaître d’Internet
• Comment réduire votre empreinte numérique
• Comment les smartphones montent un dossier sur vous