Messages privés, messages vocaux, historique de navigation sur Internet, mots de passe et données de localisation… voici des exemples de données téléphoniques privées qui sont surveillées en temps réel. Des centaines de milliers de personnes dans le monde sont suivies sans le savoir par des logiciels espions grand public.
Il existe un vaste réseau d'applications stalkerwares qui collectent les données privées d'au moins 400 000 personnes, par l'intermédiaire d'applications espions grand public qui partagent une faille de sécurité majeure, selon le rapport du journaliste spécialisé en sécurité Zack Whittaker de TechCrunch, publié cette semaine.
Le réseau d'applications stalkerwares sur lequel TechCrunch a enquêté se présente comme une gamme d'applications espions Android en marque blanche, qui ont chacune une image de marque personnalisée et des sites Web identiques revendiquant appartenir à une entreprise américaine. Mais d'après l'enquête menée par TechCrunch elles sont en vérité contrôlées par une société basée au Vietnam, appelée 1Byte.
Surnommé « stalkerwares » (logiciels de traque) en raison de leur capacité à traquer et à surveiller les personnes sans leur consentement, les logiciels espions grand public peuvent être facilement installés par n'importe qui et ne nécessitent que quelques secondes d'accès à l'appareil cible. Ils sont souvent commercialisés comme des applications parentales de suivi des enfants ou des applications permettant de suivre des employés, mais ils sont couramment utilisés par des personnes coupables de violence familiale, qui espionnent leurs ex ou partenaires actuel(le)s. TechCrunch a mené plusieurs enquêtes sur l'industrie des logiciels espions en vue de révéler au grand public les utilisations immorales de ces logiciels par à la fois les créateurs d'applications et les utilisateurs.
Dans son dernier rapport TechCrunch, Whittaker note qu'une flotte entière d'applications espions Android (neuf ayant été identifiées jusqu'à présent), partagent une vulnérabilité de sécurité qui permet « un accès à distance quasi illimité aux données d'un appareil ». La vulnérabilité identifiée par Whittaker provient d'une classe de bugs appelée « référence directe à un objet non sécurisé (IDOR) ». Il s'agit d'une faille d'application Web courante qui expose des fichiers ou des données sur un serveur, en raison de contrôles de sécurité inadéquats.
Whittaker a déclaré que les efforts qu'il a mis en œuvre pour informer les fabricants des applications ainsi que Codero, la société qui héberge le logiciel espion sur le backend, ont été infructueux. C'est pourquoi il est important que les victimes soient informées.
« Sans s'attendre à ce que la vulnérabilité soit corrigée rapidement, TechCrunch en révèle maintenant davantage sur les applications espions et leur fonctionnement, afin que les propriétaires d'appareils compromis puissent désinstaller eux-mêmes les logiciels espions, si cela peut être fait sans danger », écrit Whittaker.
Le CERT/CC, le centre de divulgation des vulnérabilités du Software Engineering Institute de l'Université Carnegie Mellon, a publié une note de vulnérabilité sur ce problème.
TechCrunch a identifié les applications compromises. Elles sont pratiquement identiques en apparence et en fonctionnement. On compte notamment Copy9, MxSpy, TheTruthSpy, iSpyoo, SecondClone, TheSpyApp, ExactSpy, FoneTracker et GuestSpy.
TechCrunch a créé un guide sur la procédure à suivre pour détecter et supprimer ces applications de votre appareil s'il a été compromis. TechCrunch avertit que la suppression du stalkerware alertera probablement la personne qui l'a implanté, ce qui pourrait créer une situation de mise en danger. Il convient donc de s'assurer d'avoir un plan de sécurité en place. Accédez au site de la Coalition Against Stalkerware afin d'obtenir des conseils sur la création d'un plan de sécurité, ainsi que d'autres ressources.
En tant que leaders de la campagne pour arrêter le stalkerware, l'EFF exhorte la Federal Trade Commission américaine à lancer une enquête sur 1Byte et son réseau d'applications stalkerwares, en vue de protéger les cibles potentielles des harceleurs et des personnes coupables de violence familiale, comme la Commission l'a fait par le passé dans des cas similaires. L'année dernière, la FTC a interdit la société d'applications Android Support King et son PDG Scott Zuckerman de l'exercice d'une activité de surveillance, pour son application stalkerware SpyFone. La première interdiction absolue d'une entreprise de stalkerware (l'affaire de la FTC contre Support King) a pris place deux ans après que l'EFF et sa directrice de la cybersécurité Eva Galperin aient lancé la Coalition Against Stalkerware pour combattre et arrêter les applications stalkerwares malveillantes. La précédente action la plus importante de la FTC contre un développeur de stalkerware était un règlement amiable de 2019. Ce dernier a permis d'empêcher la société Retina-X de distribuer ses applications mobiles jusqu'à ce qu'elle puisse s'assurer que ses applications n'étaient utilisées qu'à des « fins légitimes ». L'installation de logiciels espions cachés sur l'appareil d'une personne tierce pour surveiller secrètement ses communications peut enfreindre diverses lois, notamment la loi sur la fraude et les abus informatiques (Computer Fraud and Abuse Act, CFAA), les lois sur les écoutes téléphoniques et les lois anti-harcèlement.
Le stalkerware est, en soi, un outil dangereux en matière d'abus technologiques. Les stalkerwares non sécurisés sont encore plus dangereux, car ils rendent les victimes vulnérables à une toute nouvelle gamme d'agresseurs. Des entreprises telles que 1Byte ne sont guère incitées à créer des stalkerwares sécurisés alors qu'elles peuvent toujours donner un nouvel habillage à leur produit, et le vendre sous un autre nom. Des enquêtes telles que celle menée par Whittaker sont essentielles pour protéger les utilisateurs de leurs agresseurs et des pirates informatiques opportunistes, mais elles doivent être suivies d'une action de la part de la FTC.