Attention aux applis mobiles que vous téléchargez. Certaines emmagasinent beaucoup de données sur vous et ne les stockent pas de manière sécurisée. Le dernier exemple en date est AI.Type, un célèbre clavier alternatif pour smartphone développé par la start-up israélienne du même nom. Disponible sur iOS et Android, cette application compte plus de 40 millions d’utilisateurs. Dotée de fonctions d’intelligence artificielle, elle est capable d’apprendre le style d’écriture de l’utilisateur et de proposer des corrections et des insertions personnalisées.
Ce que le descriptif du produit ne dit pas, c’est que cette application collecte une grande quantité de données personnelles sur les utilisateurs et les stockent dans des bases de données ouvertes à tous. Les chercheurs en de Kromtech Security ont ainsi pu mettre la main sur une base de données de type MongoDB qui appartient manifestement à AI.Type et qui était librement accessible depuis Internet.
6 millions de carnets d’adresses
Cette base contenait 577 Go de données de 31 millions d’utilisateurs, probablement sur plateforme Android. On y trouvait une quantité de données personnelles : nom, prénom, numéros de téléphone, emails, pays de résidence, langues activées, version d’Android, numéro IMSI, numéro IMEI, données issues des profils sociaux, données de géolocalisation. Mais ce n’est pas tout. Cette base d’AI.Type a également stocké les carnets d’adresses de 6 millions d’utilisateurs, avec noms et numéro de téléphone. Ce qui représentaient plus 373 millions d’entrées. Enfin, on y trouvait tout un tas de données statistiques comme les requêtes Google les plus fréquentes, nombre moyen de messages par jour, nombre moyen de mots pas message, etc.
Epinglé par un utilisateur sur Play Store, l’éditeur cherche à minimiser cette faille de sécurité : « Les données ont été trouvées par un expert en sécurité et n’ont pas été consultées ou utilisées par d’autres personnes. Les données contenaient principalement des modèles d’utilisation anonymes, la rétention des utilisateurs, les performances des annonces, etc. La fuite est complètement corrigée ». Compte tenu des données trouvées par les chercheurs, cette réponse n’est pas très crédible.
Les utilisateurs peuvent s’estimer heureux que la collecte dans MongoDB ne soit pas allée plus loin. Lors de l’installation, l’appli propose une option d’« accès total » qui lui permet de transmettre tout ce que tape l’utilisateur vers les serveurs de l’éditeur. Il est probable que ces données soient stockées quelque part. Espérons qu’elles sont anonymisées et correctement sécurisées. Mais le doute est permis.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.