Une application anti-pornographie au cœur d'un scandale de cybersécurité
L'application Quittr, qui promettait d'aider les hommes à stopper leur consommation de contenus pornographiques, se retrouve au centre d'une affaire préoccupante concernant la protection des données personnelles. Selon une enquête approfondie publiée mardi par le site spécialisé 404 Media, une faille de sécurité majeure a exposé les informations sensibles de plus de 600.000 utilisateurs pendant plusieurs mois.
Une plateforme populaire aux ambitions louables
Lancée par les jeunes entrepreneurs Alex Slater et Connor McLaren, l'application Quittr avait connu un succès notable avec plus d'1,5 million de téléchargements. Pour 30 dollars par an, elle proposait un service complet comprenant un bloqueur de contenus pour adultes et un accompagnement personnalisé pour résister aux tentations. Parmi ses fonctionnalités innovantes figurait notamment un bouton rouge que l'utilisateur pouvait actionner pour déclencher une séquence dissuasive conçue pour l'éloigner des sites pornographiques.
Une base de données vulnérable pendant des mois
Le problème majeur résidait dans la configuration défaillante de la base de données hébergée sur Google Firebase, une plateforme couramment utilisée pour le développement d'applications mobiles. Cette mauvaise configuration a rendu accessible une quantité alarmante d'informations personnelles, notamment :
- L'âge des utilisateurs
- Leur fréquence de masturbation
- Leurs témoignages détaillés concernant leur rapport à la pornographie
Parmi les victimes de cette fuite de données, environ 100.000 seraient mineures, ce qui soulève des questions supplémentaires concernant la protection des jeunes utilisateurs.
Une réaction tardive et contradictoire des fondateurs
La faille de cybersécurité avait pourtant été identifiée dès le milieu de l'année 2025 par un chercheur en sécurité. Ce dernier a directement contacté Alex Slater le 10 septembre 2025 pour l'en informer. Le cofondateur avait alors reconnu sa responsabilité : « C'est entièrement ma faute, j'aurais dû être plus vigilant. [...] Je travaille à résoudre le problème immédiatement ! Ce sera réglé dans l'heure qui vient ».
Pourtant, selon l'enquête de 404 Media, aucun correctif significatif n'aurait été appliqué dans les mois qui ont suivi cette déclaration. Interrogé à nouveau en janvier dernier, Alex Slater a adopté une position radicalement différente, niant l'existence d'un problème grave et affirmant qu'aucune information sensible n'avait fuité. « Je trouve ça un peu ridicule... Après vérification auprès de mes ingénieurs, j'ai constaté que cela n'avait jamais posé problème », a-t-il déclaré au média américain.
Des preuves accablantes et une sécurisation tardive
Malgré les dénégations des fondateurs, les preuves rassemblées par 404 Media semblent démontrer de manière accablante l'existence et la gravité de cette faille de sécurité. La base de données n'aurait finalement été correctement sécurisée qu'au début du mois de mars 2026, soit plusieurs mois après la découverte initiale du problème.
Cet incident soulève des questions cruciales concernant :
- La responsabilité des développeurs d'applications dans la protection des données utilisateurs
- L'efficacité des processus de réponse aux failles de sécurité
- La transparence nécessaire vis-à-vis des utilisateurs en cas d'incident
L'affaire Quittr rappelle ainsi que même les applications aux intentions les plus louables peuvent présenter des vulnérabilités significatives lorsqu'elles ne mettent pas la sécurité des données au cœur de leur développement.
