Les fichiers sensibles des utilisateurs de l'application de fitness populaire Fitify ont été sécurisés après que des chercheurs en cybersécurité ont découvert un espace de stockage Google Cloud accessible au public contenant des centaines de milliers d'images, notamment des scans corporels et des photos personnelles de progression.
«Un compartiment Google Cloud est simplement un classeur dans l'espace virtuel», a expliqué l'expert en cybersécurité Ritesh Kotak dans une interview vidéo avec CTVNews.ca. «Vos fichiers, vos données numériques, toutes vos recherches... doivent être stockés quelque part, et ils le sont généralement dans un compartiment cloud, Google étant l'un des plus populaires.»
Ce texte est une traduction d'un article de CTV News.
Le stockage exposé, désormais fermé, a été découvert par des chercheurs de Cybernews début mai.
Selon leur rapport, plus de 373 000 fichiers étaient accessibles sans aucune protection par mot de passe ou clé de sécurité. Il indique également que Fitify Workouts, la société à l'origine de l'application, a fermé le stockage cloud exposé après avoir été contactée par Cybernews.
Selon le rapport de Cybernews, si la plupart des fichiers étaient des programmes d'entraînement et des vidéos d'instructions, les chercheurs ont également trouvé 206 000 photos de profil d'utilisateurs, 138 000 photos de progression et environ 6000 images intitulées Body Scan. Certains de ces fichiers auraient été partagés via la fonctionnalité de coaching IA de Fitify, qui permet aux utilisateurs de suivre l'évolution de leur corps au fil du temps.
À VOIR AUSSI | 25 ans après le «bogue de l’an 2000», où en est-on côté cybersécurité?
Selon son site web, Cybernews est un «média indépendant où des journalistes et des experts en sécurité démystifient le cyberespace grâce à des recherches, des tests et des données».
CTVNews.ca a contacté Fitify Workouts pour obtenir des commentaires, mais n'avait pas reçu de réponse au moment de la publication de cet article.
Selon les chercheurs de Cybernews, les «photos de progression» et les «scans corporels» sont souvent pris avec un minimum de vêtements afin de mieux mettre en valeur les progrès en matière de perte de poids et de prise de masse musculaire. La plupart des images divulguées pourraient donc être du type que les utilisateurs souhaitent normalement garder privées.
Ritesh Kotak estime que la divulgation s'est probablement produite lorsqu'une personne ayant accès au compte a créé un lien public non sécurisé ou qui a expiré.
«Si vous obtenez ce lien, vous pouvez y accéder», a-t-il dit. «Compte tenu du caractère sensible des informations, le risque de préjudice pour les personnes concernées est important.»
À VOIR AUSSI | Fraude: les risques de publier une photo de son passeport
La description de Fitify sur Google Play indique aux utilisateurs que leurs données sont «cryptées lors du transfert». Mais les chercheurs de Cybernews ont affirmé que le stockage dans le cloud était accessible à toute personne disposant d'un lien et que les fichiers n'étaient pas cryptés au repos, ce qui signifie que n'importe qui pouvait consulter ou télécharger le contenu.
«Cette fuite montre que les contrôles d'accès mis en place par l'application étaient insuffisants pour sécuriser les données des utilisateurs», a fait savoir Cybernews dans son rapport. «Le fait que ces données puissent être consultées par n'importe qui sans mot de passe ni clé démontre que les données des utilisateurs n'étaient pas cryptées en mode veille.»
L'expert en cybersécurité s'est interrogé sur la raison pour laquelle ces données étaient stockées dans le cloud.
«Pourquoi ces données n'étaient-elles pas cryptées? Pourquoi ont-elles été téléchargées dans le cloud plutôt que stockées sur l'appareil de l'utilisateur?» a-t-il demandé. «Il s'agit là de graves négligences en matière de sécurité.»
M. Kotak recommande aux utilisateurs de faire preuve de prudence lorsqu'ils partagent des informations personnelles avec des applications de fitness et de santé, en particulier lorsqu'il s'agit de données biométriques ou de photos.
«Lorsque vous vous inscrivez à une application, vous confiez à une organisation des informations très sensibles et personnelles», a-t-il indiqué. «Réfléchissez avant de cliquer et soyez conscient qu'une fois que vos informations sont entre les mains de l'une de ces organisations, il existe un risque qu'une violation comme celle-ci se produise.»
