Une nouvelle application baptisée Neon a connu un succès fulgurant depuis son lancement il y a une semaine, se hissant dans le top 5 des applications gratuites sur iPhone. Le concept était simple et accrocheur : enregistrer les appels téléphoniques des utilisateurs, les rémunérer pour ces enregistrements, puis revendre ces données audio à des entreprises d’intelligence artificielle désireuses d’améliorer leurs modèles.

Selon Appfigures, Neon a été téléchargée 75 000 fois en une seule journée et comptait déjà des milliers d’utilisateurs. Mais cet essor a brutalement pris fin. TechCrunch a découvert une faille de sécurité critique qui permettait à n’importe quel utilisateur d’accéder aux numéros de téléphone, aux enregistrements et aux transcriptions d’autres utilisateurs. L’application a depuis été mise hors ligne par son fondateur, Alex Kiam.

Lors de tests menés jeudi, les journalistes de TechCrunch ont constaté que les serveurs de Neon n’empêchaient pas l’accès croisé aux données. Avec un compte basique et un outil d’analyse du trafic réseau, ils ont pu consulter non seulement leurs propres conversations, mais aussi les fichiers audio et les transcriptions d’autres abonnés. Pire encore, les serveurs pouvaient révéler les métadonnées des appels : numéros composés, durée des conversations et montants générés par chaque enregistrement.

Cette faille soulève une inquiétude supplémentaire : certains utilisateurs auraient pu utiliser Neon pour enregistrer des conversations du quotidien à l’insu de leurs interlocuteurs, dans le seul but de générer des revenus. Ces enregistrements, accessibles publiquement par de simples liens web, posent un problème éthique et juridique majeur.

Informé de la situation, Alex Kiam a rapidement désactivé les serveurs de l’application et envoyé un courriel aux clients pour annoncer une pause temporaire. Le message, relayé par TechCrunch, mentionne l’ajout de « couches supplémentaires de sécurité », mais ne fait aucune référence à la fuite massive de données ni à l’exposition des informations personnelles des utilisateurs.

Le calendrier d’un éventuel retour en ligne de Neon reste inconnu, et les réactions d’Apple et de Google, interpellés sur le respect des règles de leurs boutiques d’applications, se font attendre. Ce nouvel incident rappelle que plusieurs services, parfois très populaires, ont déjà été rattrapés par des problèmes similaires. En 2024, des applications comme Bumble et Hinge avaient exposé la localisation de leurs utilisateurs, et plus récemment, l’application de rencontres Tea avait laissé fuiter des informations personnelles et des documents officiels.

À ce stade, il est également incertain si Neon a fait l’objet d’un audit de sécurité avant son lancement. L’entreprise n’a pas répondu aux questions de TechCrunch concernant l’existence de journaux techniques capables de déterminer si la faille avait été exploitée par d’autres acteurs avant sa découverte. Quant aux fonds de capital-risque Upfront Ventures et Xfund, mentionnés par Kiam comme investisseurs dans le projet, ils n’ont pas souhaité commenter.

Le cas Neon illustre une fois de plus les failles du processus de validation des boutiques d’applications et les dangers d’une croissance trop rapide dans un domaine où la sécurité devrait primer. Pour ses utilisateurs, l’expérience laisse un goût amer : l’idée de monnayer ses appels pouvait sembler séduisante, mais elle s’est transformée en une alerte majeure sur les risques liés à la vie privée.

Source : Techcrunch

++++

Tous les jours de la semaine, du lundi au vendredi, Bruno Guglielminetti vous propose un regard sur l’essentiel de l’actualité numérique avec 120 secondes de Tech.