{"id":23733,"date":"2026-03-18T09:00:43","date_gmt":"2026-03-18T07:00:43","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=23733"},"modified":"2026-03-18T17:59:22","modified_gmt":"2026-03-18T15:59:22","slug":"mental-health-apps-issues-2026","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/mental-health-apps-issues-2026\/23733\/","title":{"rendered":"Fuite des cerveaux : les failles des applications de sant\u00e9 mentale"},"content":{"rendered":"

En f\u00e9vrier\u00a02026, la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Oversecured a publi\u00e9 un rapport qui donnerait envie de r\u00e9initialiser son t\u00e9l\u00e9phone et de d\u00e9m\u00e9nager dans une cabane isol\u00e9e au fond des bois. Des chercheurs ont pass\u00e9 au crible<\/a> 10 applications Android populaires d\u00e9di\u00e9es \u00e0 la sant\u00e9 mentale, allant des outils de suivi de l\u2019humeur et des th\u00e9rapeutes bas\u00e9s sur l\u2019IA aux outils de gestion de la d\u00e9pression et de l\u2019anxi\u00e9t\u00e9, et ont d\u00e9couvert\u2026 1 575 vuln\u00e9rabilit\u00e9s ! Cinquante-quatre de ces failles ont \u00e9t\u00e9 class\u00e9es comme critiques. Compte tenu des statistiques de t\u00e9l\u00e9chargement sur Google Play, jusqu\u2019\u00e0 15 millions de personnes pourraient \u00eatre concern\u00e9es. Le plus surprenant dans tout cela ? Six des dix applications test\u00e9es promettaient explicitement aux utilisateurs que leurs donn\u00e9es \u00e9taient \u00ab\u00a0enti\u00e8rement chiffr\u00e9es et prot\u00e9g\u00e9es de mani\u00e8re s\u00e9curis\u00e9e\u00a0\u00bb.<\/p>\n

Nous d\u00e9cortiquons ce scandaleux ph\u00e9nom\u00e8ne de \u00ab\u00a0fuites des cerveaux\u00a0\u00bb : ce qui peut r\u00e9ellement fuiter, comment cela se produit et pourquoi l'\u00a0\u00bbanonymat\u00a0\u00bb de ces services rel\u00e8ve le plus souvent du simple mythe marketing.<\/p>\n

Ce qui a \u00e9t\u00e9 trouv\u00e9 dans les applications<\/h2>\n

Oversecured est une entreprise sp\u00e9cialis\u00e9e dans la s\u00e9curit\u00e9 des applications mobiles qui utilise un analyseur sp\u00e9cialis\u00e9 pour examiner les fichiers APK \u00e0 la recherche de mod\u00e8les de vuln\u00e9rabilit\u00e9 connus dans des dizaines de cat\u00e9gories. En janvier 2026, des chercheurs ont pass\u00e9 au crible dix applications de suivi de la sant\u00e9 mentale disponibles sur Google Play, et les r\u00e9sultats ont \u00e9t\u00e9, pour ainsi dire, \u00ab\u00a0spectaculaires\u00a0\u00bb.<\/p>\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n
Type d\u2019application<\/td>\nNombre d\u2019installations<\/td>\nVuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9<\/td>\n<\/tr>\n
Gravit\u00e9 \u00e9lev\u00e9e<\/td>\nGravit\u00e9 moyenne<\/td>\nGravit\u00e9 faible<\/td>\nTotal<\/td>\n<\/tr>\n
Suivi de l\u2019humeur et des habitudes<\/td>\nPlus de 10\u00a0M<\/td>\n1<\/td>\n147<\/td>\n189<\/td>\n337<\/td>\n<\/tr>\n
Chatbot de th\u00e9rapie bas\u00e9 sur l\u2019IA<\/td>\nPlus de 1\u00a0M<\/td>\n23<\/td>\n63<\/td>\n169<\/td>\n255<\/td>\n<\/tr>\n
Plateforme d\u2019IA d\u00e9di\u00e9e \u00e0 la sant\u00e9 \u00e9motionnelle<\/td>\nPlus de 1\u00a0M<\/td>\n13<\/td>\n124<\/td>\n78<\/td>\n215<\/td>\n<\/tr>\n
Suivi de la sant\u00e9 et des sympt\u00f4mes<\/td>\nPlus de 500\u00a0000<\/td>\n7<\/td>\n31<\/td>\n173<\/td>\n211<\/td>\n<\/tr>\n
Outil de gestion de la d\u00e9pression<\/td>\nPlus de 100\u00a0000<\/td>\n0<\/td>\n66<\/td>\n91<\/td>\n157<\/td>\n<\/tr>\n
Application contre l\u2019anxi\u00e9t\u00e9 bas\u00e9e sur la TCC<\/td>\nPlus de 500\u00a0000<\/td>\n3<\/td>\n45<\/td>\n62<\/td>\n110<\/td>\n<\/tr>\n
Th\u00e9rapie en ligne et communaut\u00e9 de soutien<\/td>\nPlus de 1\u00a0M<\/td>\n7<\/td>\n20<\/td>\n71<\/td>\n98<\/td>\n<\/tr>\n
Auto-assistance pour l\u2019anxi\u00e9t\u00e9 et les phobies<\/td>\nPlus de 50\u00a0000<\/td>\n0<\/td>\n15<\/td>\n54<\/td>\n69<\/td>\n<\/tr>\n
Gestion du stress chez les militaires<\/td>\nPlus de 50\u00a0000<\/td>\n0<\/td>\n12<\/td>\n50<\/td>\n62<\/td>\n<\/tr>\n
Chatbot relatif \u00e0 la TCC bas\u00e9 sur l\u2019IA<\/td>\nPlus de 500\u00a0000<\/td>\n0<\/td>\n15<\/td>\n46<\/td>\n61<\/td>\n<\/tr>\n
Total<\/strong><\/td>\nPlus de 14,7\u00a0M<\/strong><\/td>\n54<\/strong><\/td>\n538<\/strong><\/td>\n983<\/strong><\/td>\n1575<\/strong><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
\n

Vuln\u00e9rabilit\u00e9s d\u00e9tect\u00e9es dans les 10 applications de sant\u00e9 mentale test\u00e9es. Source<\/a><\/p>\n<\/div>\n

Anatomie des failles<\/h2>\n

Les vuln\u00e9rabilit\u00e9s d\u00e9couvertes sont diverses, mais elles se r\u00e9sument toutes \u00e0 une seule chose\u00a0: donner aux pirates acc\u00e8s \u00e0 des donn\u00e9es qui devraient \u00eatre prot\u00e9g\u00e9es.<\/p>\n

Premi\u00e8rement, l\u2019une des vuln\u00e9rabilit\u00e9s permet \u00e0 un pirate d\u2019acc\u00e9der \u00e0 toutes les activit\u00e9s internes de l\u2019application, m\u00eame celles qui ne sont pas destin\u00e9es \u00e0 \u00eatre vues par des tiers. Cela ouvre la porte au d\u00e9tournement des jetons d\u2019authentification et des donn\u00e9es de session utilisateur. Une fois qu\u2019un pirate informatique dispose de ces informations, il peut en principe acc\u00e9der au dossier th\u00e9rapeutique de l\u2019utilisateur.<\/p>\n

Un autre probl\u00e8me concerne le stockage local des donn\u00e9es, qui n\u2019est pas s\u00e9curis\u00e9, les autorisations de lecture \u00e9tant accord\u00e9es \u00e0 toute autre application sur l\u2019appareil. Autrement dit, cette application de lampe de poche ou cette calculatrice install\u00e9e au hasard sur votre smartphone pourrait potentiellement acc\u00e9der \u00e0 vos journaux de th\u00e9rapie cognitivo-comportementale (TCC), \u00e0 vos notes personnelles et \u00e0 vos \u00e9valuations d\u2019humeur.<\/p>\n

Les chercheurs ont \u00e9galement d\u00e9couvert des donn\u00e9es de configuration non chiffr\u00e9es int\u00e9gr\u00e9es directement dans les fichiers d\u2019installation APK. Cela incluait les points de terminaison de l\u2019API principale et les URL cod\u00e9es en dur pour les bases de donn\u00e9es Firebase.<\/p>\n

En outre, plusieurs applications ont \u00e9t\u00e9 prises en flagrant d\u00e9lit d\u2019utilisation de la classe java.util.Random<\/em>, qui pr\u00e9sente des failles cryptographiques, pour g\u00e9n\u00e9rer des jetons de session et des cl\u00e9s de chiffrement.<\/p>\n

Enfin, la plupart des applications test\u00e9es ne disposaient pas de fonctionnalit\u00e9 de d\u00e9tection du root\/jailbreak. Sur un appareil root\u00e9, toute application tierce disposant de privil\u00e8ges root pourrait obtenir un acc\u00e8s total \u00e0 l\u2019ensemble des donn\u00e9es m\u00e9dicales stock\u00e9es localement.<\/p>\n

Il est surprenant de constater que, sur les dix applications analys\u00e9es, seules quatre ont fait l\u2019objet de mises \u00e0 jour en f\u00e9vrier\u00a02026. Les autres n\u2019ont pas re\u00e7u de correctif depuis novembre\u00a02025, et l\u2019une d\u2019entre elles n\u2019a pas \u00e9t\u00e9 mise \u00e0 jour depuis septembre\u00a02024. Dans ce secteur, 18\u00a0mois sans correctif de s\u00e9curit\u00e9, c\u2019est une \u00e9ternit\u00e9, surtout pour une application qui h\u00e9berge des journaux d\u2019humeur, des transcriptions de s\u00e9ances de th\u00e9rapie et des calendriers de prise de m\u00e9dicaments.<\/p>\n

Voici un petit rappel de la gravit\u00e9 des cons\u00e9quences que peut avoir l\u2019utilisation abusive de ce type de donn\u00e9es. En 2024, le monde de la technologie a \u00e9t\u00e9 secou\u00e9 par une attaque \u00e9labor\u00e9e contre XZ Utils<\/a>, un module essentiel pr\u00e9sent dans pratiquement tous les syst\u00e8mes d\u2019exploitation bas\u00e9s sur le noyau Linux. Le pirate a r\u00e9ussi \u00e0 faire pression sur le responsable du projet pour qu\u2019il lui c\u00e8de l\u2019autorisation de modification du code, en tirant parti du fait que le d\u00e9veloppeur avait publiquement admis souffrir d\u2019\u00e9puisement professionnel et manquer de motivation pour poursuivre le projet. Si cette attaque avait abouti, les d\u00e9g\u00e2ts auraient \u00e9t\u00e9 colossaux, \u00e9tant donn\u00e9 qu\u2019environ 80\u00a0% des serveurs dans le monde fonctionnent sous Linux.<\/p>\n

Qu\u2019est-ce qui pourrait \u00eatre divulgu\u00e9\u00a0?<\/h2>\n

Quelles sont les donn\u00e9es que ces applications collectent et stockent\u00a0? Il s\u2019agit du genre d\u2019informations que vous ne partageriez probablement qu\u2019avec un professionnel de sant\u00e9 de confiance\u00a0: transcriptions de s\u00e9ances de th\u00e9rapie, journaux d\u2019humeur, calendriers de planification de la prise de m\u00e9dicaments, indicateurs d\u2019automutilation, notes de TCC et diverses \u00e9chelles d\u2019\u00e9valuation clinique.<\/p>\n

D\u00e9j\u00e0 en 2021, des dossiers m\u00e9dicaux complets se vendaient sur le Dark Web au prix de 1\u00a0000\u00a0$\u00a0US pi\u00e8ce<\/a>. \u00c0 titre de comparaison, un num\u00e9ro de carte de cr\u00e9dit vol\u00e9 se vend entre 5 et 30 $ US. Les dossiers m\u00e9dicaux contiennent un ensemble complet de donn\u00e9es d\u2019identit\u00e9 : nom, adresse, informations relatives \u00e0 l\u2019assurance et ant\u00e9c\u00e9dents m\u00e9dicaux. Contrairement \u00e0 une carte de cr\u00e9dit, on ne peut pas vraiment \u00ab\u00a0remplacer\u00a0\u00bb un dossier m\u00e9dical. De plus, la fraude m\u00e9dicale est r\u00e9put\u00e9e pour \u00eatre difficile \u00e0 d\u00e9tecter. Alors qu\u2019une banque peut signaler une transaction suspecte en quelques heures, une demande d\u2019indemnisation frauduleuse pour un traitement fant\u00f4me peut passer inaper\u00e7ue pendant des ann\u00e9es.<\/p>\n

Nous avons d\u00e9j\u00e0 vu ce film<\/h2>\n

L\u2019\u00e9tude Oversecured n\u2019est pas seulement une histoire d\u2019horreur isol\u00e9e.<\/p>\n

En 2020, Julius Kivim\u00e4ki a pirat\u00e9 la base de donn\u00e9es de la clinique de psychoth\u00e9rapie finlandaise Vastaamo<\/a>, emportant avec lui les dossiers de 33 000 patients. Lorsque la clinique a refus\u00e9 de verser une ran\u00e7on de 400 000 \u20ac, J. Kivim\u00e4ki a commenc\u00e9 \u00e0 envoyer des menaces directes aux patients : \u00ab\u00a0Payez 200 \u20ac en bitcoins dans les 24 heures, sinon vos dossiers seront rendus publics\u00a0\u00bb. Finalement, il a quand m\u00eame divulgu\u00e9 l\u2019int\u00e9gralit\u00e9 de la base de donn\u00e9es sur le Dark Web. Au moins deux personnes se sont donn\u00e9 la mort, et la clinique a \u00e9t\u00e9 contrainte de d\u00e9poser le bilan. Julius Kivim\u00e4ki a finalement \u00e9t\u00e9 condamn\u00e9 \u00e0 six ans et trois mois de prison, ce proc\u00e8s ayant battu tous les records en Finlande en raison du nombre impressionnant de victimes impliqu\u00e9es.<\/p>\n

En 2023, la Commission f\u00e9d\u00e9rale du commerce (FTC) des \u00c9tats-Unis a inflig\u00e9 une amende de 7,8\u00a0millions de dollars au g\u00e9ant de la th\u00e9rapie en ligne BetterHelp<\/a>. Bien qu\u2019elle ait affirm\u00e9 sur sa page d\u2019inscription que les donn\u00e9es des utilisateurs \u00e9taient strictement confidentielles, l\u2019entreprise a \u00e9t\u00e9 prise en flagrant d\u00e9lit de transmission d\u2019informations personnelles (notamment des r\u00e9ponses \u00e0 des questionnaires sur la sant\u00e9 mentale, des emails et des adresses IP) \u00e0 Facebook, Snapchat, Criteo et Pinterest \u00e0 des fins de diffusion d\u2019annonces cibl\u00e9es. Une fois la temp\u00eate pass\u00e9e, les 800\u00a0000\u00a0utilisateurs concern\u00e9s ont re\u00e7u une compensation totale de\u2026 10\u00a0$\u00a0US.<\/p>\n

En 2024, la FTC a d\u00e9cid\u00e9 de sanctionner la soci\u00e9t\u00e9 de t\u00e9l\u00e9sant\u00e9 Cerebral<\/a> en lui infligeant une amende de 7\u00a0millions de dollars. Gr\u00e2ce \u00e0 la technologie de suivi des pixels<\/a>, l\u2019entreprise Cerebral a divulgu\u00e9 les donn\u00e9es de 3,2\u00a0millions d\u2019utilisateurs \u00e0 LinkedIn, Snapchat et TikTok. Parmi les donn\u00e9es r\u00e9cup\u00e9r\u00e9es figuraient des noms, des ant\u00e9c\u00e9dents m\u00e9dicaux, des ordonnances, des dates de rendez-vous et des informations d\u2019assurance. Et la cerise sur le g\u00e2teau\u00a0? L\u2019entreprise a envoy\u00e9 des cartes postales promotionnelles (sans enveloppe) \u00e0 6\u00a0000 patients, ce qui a indirectement r\u00e9v\u00e9l\u00e9 que les destinataires suivaient un traitement psychiatrique.<\/p>\n

En septembre\u00a02024, Jeremiah Fowler, chercheur en s\u00e9curit\u00e9 informatique, a d\u00e9couvert par hasard une base de donn\u00e9es accessible \u00e0 tous appartenant \u00e0 Confidant Health<\/a>, un prestataire sp\u00e9cialis\u00e9 dans le traitement des addictions et les services de sant\u00e9 mentale. La base de donn\u00e9es contenait des enregistrements audio et vid\u00e9o de s\u00e9ances de th\u00e9rapie, des transcriptions, des notes psychiatriques, des r\u00e9sultats de tests de d\u00e9pistage de drogues et m\u00eame des copies de permis de conduire. Au total, 5,3\u00a0t\u00e9raoctets de donn\u00e9es, soit 126\u00a0000\u00a0fichiers ou 1,7\u00a0million d\u2019enregistrements, \u00e9taient accessibles sans mot de passe.<\/p>\n

Pourquoi l\u2019anonymat est une illusion<\/h2>\n

Les d\u00e9veloppeurs adorent r\u00e9p\u00e9ter cette phrase : \u00ab\u00a0Nous ne partageons jamais vos donn\u00e9es personnelles avec qui que ce soit.\u00a0\u00bb Techniquement, cela pourrait \u00eatre vrai, mais en r\u00e9alit\u00e9, ils partagent des \u00ab\u00a0profils anonymis\u00e9s\u00a0\u00bb. Le hic ? La d\u00e9sanonymisation de ces donn\u00e9es n\u2019est plus vraiment compliqu\u00e9e. Des \u00e9tudes<\/a> r\u00e9centes r\u00e9v\u00e8lent que l\u2019utilisation des grands mod\u00e8les de langage (LLM) est devenue monnaie courante pour lever l\u2019anonymat.<\/p>\n

M\u00eame le processus d\u2019 \u00ab\u00a0anonymisation\u00a0\u00bb lui-m\u00eame est bien souvent chaotique. Une \u00e9tude men\u00e9e par l\u2019universit\u00e9 Duke<\/a> a r\u00e9v\u00e9l\u00e9 que des courtiers en donn\u00e9es commercialisent ouvertement les donn\u00e9es relatives \u00e0 la sant\u00e9 mentale des Am\u00e9ricains. Sur les 37\u00a0courtiers interrog\u00e9s, 11 ont accept\u00e9 de vendre des donn\u00e9es li\u00e9es \u00e0 des diagnostics sp\u00e9cifiques (tels que la d\u00e9pression, l\u2019anxi\u00e9t\u00e9 et le trouble bipolaire), \u00e0 des param\u00e8tres d\u00e9mographiques et, dans certains cas, m\u00eame \u00e0 des noms et adresses personnelles. Les prix commen\u00e7aient \u00e0 partir de 275\u00a0$\u00a0US pour 5\u00a0000\u00a0entr\u00e9es agr\u00e9g\u00e9es.<\/p>\n

Selon la Fondation Mozilla<\/a>, en 2023, 59 % des applications de sant\u00e9 mentale les plus populaires ne respectaient m\u00eame pas les normes de confidentialit\u00e9 les plus \u00e9l\u00e9mentaires, et 40 % d\u2019entre elles \u00e9taient en r\u00e9alit\u00e9 moins s\u00e9curis\u00e9es que l\u2019ann\u00e9e pr\u00e9c\u00e9dente. Ces applications permettaient de cr\u00e9er un compte via des services tiers (tels que Google, Apple et Facebook), comportaient des politiques de confidentialit\u00e9 \u00e9trangement succinctes qui passaient sous silence les d\u00e9tails relatifs \u00e0 la collecte de donn\u00e9es, et exploitaient une petite faille astucieuse : certaines politiques de confidentialit\u00e9 s\u2019appliquaient strictement au site Internet de l\u2019entreprise, mais pas \u00e0 l\u2019application elle-m\u00eame. En r\u00e9sum\u00e9, vos clics sur le site \u00e9taient \u00ab\u00a0prot\u00e9g\u00e9s\u00a0\u00bb, mais vos actions au sein de l\u2019application ne l\u2019\u00e9taient pas.<\/p>\n

Comment vous prot\u00e9ger<\/h2>\n

\u00c9liminer compl\u00e8tement ces applications de votre vie est, bien s\u00fbr, la solution la plus s\u00fbre, mais ce n\u2019est pas la plus r\u00e9aliste. De plus, rien ne garantit que vous puissiez r\u00e9ellement effacer d\u00e9finitivement les donn\u00e9es d\u00e9j\u00e0 collect\u00e9es, m\u00eame si vous supprimez votre compte. Nous avons d\u00e9j\u00e0 abord\u00e9 le processus fastidieux consistant \u00e0 faire supprimer vos informations des bases de donn\u00e9es des courtiers en donn\u00e9es<\/a>. C\u2019est possible, mais pr\u00e9parez-vous \u00e0 un v\u00e9ritable casse-t\u00eate. Alors, comment rester en s\u00e9curit\u00e9\u00a0?<\/p>\n