Une grave négligence en matière de sécurité a entraîné l’exposition de mots de passe en clair et de données sensibles appartenant à 1,8 million d’utilisateurs. En cause : des instances Firebase mal configurées. Cette découverte provient des chercheurs en cybersécurité de Website Planet. Les informations accessibles comprenaient noms d’utilisateur, adresses email, numéros de téléphone, données de facturation et mots de passe non chiffrés. Le tout était stocké sur des bases de données Firebase en temps réel accessibles librement, utilisées par plus de 900 applications mobiles, principalement sur Android, dont certaines comptaient plusieurs millions de téléchargements. Ces applications couvraient des domaines variés, allant du fitness aux services financiers. Les chercheurs ont alerté Google ainsi que les développeurs concernés, mais au moment de la publication, de nombreuses bases restaient accessibles sans protection. Firebase, propriété de Google, est largement utilisé pour le développement backend d’applications. Ses paramètres de configuration par défaut ont déjà été mis en cause dans des incidents similaires.
Analyse de nos experts :
Stocker des mots de passe en clair dans des bases cloud publiques en 2025 n’est pas simplement dépassé. C’est de l’inconscience. Cette fuite ne résulte ni d’une vulnérabilité zero-day, ni d’un exploit sophistiqué. Elle s’est produite parce que des règles de sécurité élémentaires ont été ignorées sur des centaines d’applications, dont certaines comptaient des millions d’utilisateurs. La responsabilité incombe à la fois aux développeurs négligents et à la plateforme Firebase de Google, qui continue de permettre des déploiements non sécurisés par défaut. Si les outils cloud restent aussi faciles à exploiter pour les attaquants, il serait temps de cesser de parler d’innovation et de commencer à parler d’ingénierie de la responsabilité.
Lire l’article complet ici.
