Plusieurs applications mobiles liées à la santé mentale, téléchargées des millions de fois sur Google Play, présentent des vulnérabilités de sécurité susceptibles d’exposer des informations médicales sensibles des utilisateurs.
Des chercheurs en sécurité ont identifié plus de 85 vulnérabilités de gravité moyenne à élevée dans l’une de ces applications, qui pourraient être exploitées pour compromettre les données de thérapie des utilisateurs et leur vie privée.
Parmi les produits, on trouve des compagnons virtuels conçus pour aider les personnes souffrant de dépression clinique, d’anxiété, de crises de panique, de stress et de troubles bipolaires.
Au moins six des dix applications analysées affirment que les conversations ou les discussions des utilisateurs restent privées, ou qu’elles sont sécurisées par cryptage sur les serveurs du fournisseur.
“Les données de santé mentale présentent des risques uniques. Sur le dark web, les dossiers de thérapie peuvent se vendre pour 1 000 $ ou plus, un montant bien supérieur à celui des numéros de carte de crédit,” explique Sergey Toshin, fondateur de la société de sécurité mobile Oversecured.
Plus de 1 500 problèmes de sécurité identifiés
Oversecured a analysé dix applications mobiles destinées à traiter divers problèmes de santé mentale et a découvert un total de 1 575 vulnérabilités de sécurité (54 jugées de gravité élevée, 538 de gravité moyenne, et 983 de gravité faible).
| Type d’application | Téléchargements | Élevé | Moyen | Faible | Total | Date du scan | |
| 01 | Suivi de l’humeur et des habitudes | 10M+ | 1 | 147 | 189 | 337 | 01/23/2026 |
| 02 | Chatbot thérapeutique AI | 1M+ | 23 | 63 | 169 | 255 | 01/22/2026 |
| 03 | Plateforme de santé émotionnelle AI | 1M+ | 13 | 124 | 78 | 215 | 01/23/2026 |
| 04 | Suivi de la santé et des symptômes | 500k+ | 7 | 31 | 173 | 211 | 01/22/2026 |
| 05 | Outil de gestion de la dépression | 100k+ | – | 66 | 91 | 157 | 01/23/2026 |
| 06 | Application d’anxiété basée sur la TCC | 500k+ | 3 | 45 | 62 | 110 | 01/22/2026 |
| 07 | Thérapie en ligne & communauté de soutien | 1M+ | 7 | 20 | 71 | 98 | 01/23/2026 |
| 08 | Auto-assistance pour l’anxiété et les phobies | 50k+ | – | 15 | 54 | 69 | 01/22/2026 |
| 09 | Gestion du stress militaire | 50k+ | – | 12 | 50 | 62 | 01/22/2026 |
| 10 | Chatbot TCC AI | 500k+ | – | 15 | 46 | 61 | 01/23/2026 |
Bien qu’aucun des problèmes découverts ne soit critique, beaucoup peuvent être exploités pour intercepter des identifiants de connexion, falsifier des notifications, réaliser une injection HTML ou localiser l’utilisateur.
Les chercheurs ont utilisé le scanner d’Oversecured pour analyser les fichiers APK des dix applications de santé mentale à la recherche de modèles de vulnérabilité connus.
Dans un rapport partagé avec un média reconnu, les chercheurs affirment que certaines des applications vérifiées “analysent les URI fournies par l’utilisateur sans validation adéquate.”
Une application de thérapie comptant plus d’un million de téléchargements utilise Intent.parseUri() sur une chaîne contrôlée de l’extérieur et lance l’objet de messagerie résultant (intent) sans valider le composant cible.
Cela permet à un attaquant de forcer l’application à ouvrir n’importe quelle activité interne, même celle qui n’est pas destinée à un accès externe.
“Étant donné que ces activités internes traitent souvent des tokens d’authentification et des données de session, cette exploitation pourrait donner un accès non autorisé aux dossiers de thérapie d’un utilisateur,” explique Oversecured.
Un autre problème est lié au stockage de données localement de manière à donner un accès de lecture à toute application sur l’appareil. Selon les informations sauvegardées, cela pourrait exposer des détails de thérapie, tels que des entrées de thérapie, des notes de séances de TCC, et divers scores.
Oversecured indique également avoir découvert des données de configuration en texte clair, y compris des points de terminaison API du serveur et un URL de base de données Firebase en dur, dans les ressources de l’APK.
De plus, certaines des applications vulnérables utilisent la classe cryptographiquement peu sûre java.util.Random pour générer des tokens de session ou des clés de chiffrement.
Selon les chercheurs, “la plupart des 10 applications n’ont aucune forme de détection de root.” Sur un appareil rooté, toute application ayant des privilèges root a accès à toutes les données de santé stockées localement.
Oversecured précise que six des dix applications analysées “n’avaient aucune découverte de gravité élevée, mais contenaient tout de même des problèmes de gravité moyenne qui affaiblissent leur sécurité globale.”
“Ces applications collectent et stockent certaines des données personnelles les plus sensibles sur mobile : transcriptions de séances de thérapie, journaux d’humeur, horaires de médication, indicateurs d’automutilation et, dans certains cas, des informations protégées par la loi HIPAA,” notent les chercheurs.
Selon les observations d’un média, le nombre total de téléchargements pour les applications analysées par Oversecured dépasse 14,7 millions, et seules quatre ont reçu une mise à jour récemment. Pour les autres, la date de leur dernière mise à jour remonte à novembre 2025 ou même septembre 2024.
Les scans d’Oversecured ont eu lieu entre le 22 et le 23 janvier, ciblant les dernières versions des applications disponibles à ce moment-là. Les chercheurs ne peuvent pas confirmer si les vulnérabilités découvertes ont été corrigées.
Points à retenir
- Des applications de santé mentale populaires présentent des vulnérabilités susceptibles de compromettre les données des utilisateurs.
- Oversecured a identifiés plus de 1 500 problèmes de sécurité dans dix applications analysées.
- Les risques engendrés par la diffusion de données sensibles sur le dark web sont préoccupants.
- Les développeurs doivent veiller à une meilleure validation des URI et de l’accès aux données internes.
- Le stockage sécurisé des données est crucial pour protéger la vie privée des utilisateurs.
Sur ce sujet, il convient de s’interroger : à quel point notre vie numérique est-elle sécurisée, notamment lorsqu’il s’agit de données aussi sensibles que celles relatives à notre santé mentale ? La responsabilité incombe non seulement aux développeurs d’applications, mais aussi à nous, utilisateurs, de rester vigilants et informés. Quelles solutions pouvons-nous envisager pour garantir une meilleure protection de nos informations personnelles ?