Apple aime dire que l’App Store est bien plus protégé contre les applications malveillantes que la concurrence. Sauf que voilà, le laboratoire de cybersécurité CovertLabs a découvert que certaines d’entre elles dérobent tout simplement vos conversations les plus privées.
C’est sur X que les chercheurs en logiciels malveillants de VX Underground ont dévoilé le projet Firehound. Un registre qui recense les applications iOS dont les bases de données sont accessibles publiquement. Le constat est sans appel : à ce jour, près de 200 applications problématiques ont été identifiées et la plupart d’entre elles divulguent des informations personnelles très sensibles.
Des applications de l’App Store exposent les données des utilisateurs
Le chercheur en sécurité @Harrris0n, à l’origine du projet, a publié ses premières découvertes dans un message. L’application Chat & Ask AI, qui a été développée par le studio turc Codeway, est en tête du classement des pires contrevenants.
It's the slopocalypse.
— vx-underground (@vxunderground) January 19, 2026
OSINT nerd @Harrris0n has created "Firehound". He (or others, I don't know) have begun the daunting task of hunting AI slop in the Apple app store.
They have identified (as of this writing) 198 iOS apps which leak information on users (in some capacity).…
Selon les données de Firehound, cette application Chatbot AI a exposé l’ensemble de l’historique de discussion de plus de 18 millions d’utilisateurs. On parle d’environ 380 millions de messages, en plus d’autres données comme les numéros de téléphone et les adresses email des personnes concernées.
Ces informations sont « totalement accessibles à toute personne sachant où chercher », précise le chercheur. Il s’agit selon lui du « pire scénario possible ». Quand on sait à quel point les utilisateurs d’IA ont tendance à partager des sujets bien trop intimes, l’étendue des dégâts potentiels donne le vertige.
Mais Chat & Ask AI n’est pas un cas isolé. L’application éducative YPT Study Group est aussi parmi les mauvais élèves. On parle des données de plus de 2 millions d’utilisateurs désormais dans la nature. Les informations se composent des messages échangés, des jetons d’authentification pour les plateformes d’IA, des identifiants d’utilisateurs et des clés de sécurité.
Pour les autres applications pointées du doigt, il y a GenZArt, Kmstry, CamStream ou encore Genie. Dans la majorité des cas, les failles viennent de bases de données qui ont été mal configurées ou de clouds trop peu sécurisés. Certaines applications divulguent même la structure totale de leur système interne. Bref, de quoi donner une jolie porte d’entrée aux pirates.
Des applications bâclées pour profiter de l’essor de l’IA
Si l’IA domine largement la liste, d’autres catégories sont aussi touchées entre les applications éducatives, le divertissement, la santé et le bien-être, etc. Mais on note surtout une grande présence des applications IA. De nombreux développeurs ont tenté de profiter de cette ruée vers l’or en bâclant la sécurité de leur application pour vite les publier sur l’App Store. Les bonnes pratiques en termes de protection des données n’ont pas été respectées pour miser sur la rapidité.
Mais Apple est tout aussi responsable alors que l’entreprise californienne prépare l’iPhone 18 Pro pour cette année 2026. La firme de Cupertino vante son App Store comme sécurisé par rapport au Play Store de Google. Sauf que laisser passer des applications aussi vulnérables alors que le processus de validation d’Apple est censé être très strict interroge sur la véracité de ces contrôles.
CovertLabs a fait le choix de limiter l’accès aux informations les plus sensibles dans Firehound. Les chercheurs, journalistes, autorités compétentes ont l’autorisation d’examiner les données complètes. Les développeurs concernés à qui l’on doit ces applications trop peu sécurisées sont invités à contacter l’équipe du projet. Ensuite, leur application sera retirée du registre et ils auront le droit à un coup de main pour corriger les failles.
- Firehound est un projet de recensement qui a identifié près de 200 applications iOS avec une base de données accessible publiquement.
- Chat & Ask AI du studio turc Codeway expose 18 millions d’utilisateurs, environ 380 millions de messages, et des emails ou numéros de téléphone.
- Les chercheurs incriminent surtout des bases mal configurées et des clouds trop peu sécurisés, et CovertLabs réserve l’accès complet aux détails aux experts et autorités.
Réagissez à cet article !