Une faille de sécurité expose des millions de clients du logiciel de surveillance mSpy. Des tickets d'assistance datant de 2014, contenant des informations personnelles et des documents sensibles, ont été dérobés en mai 2024. À l'heure où nous écrivons ces lignes, la société ukrainienne derrière mSpy, Brainstack, n'a pas encore réagi publiquement à cette violation.
Si vous utilisez le logiciel de contrôle parental mSpy, vous ignorez peut-être qu'il vient de subir une importante violation de données. En mai 2024, des pirates ont réussi à s'emparer de millions de tickets d'assistance client datant de 2014.
Ces informations étaient stockées sur la plateforme Zendesk, utilisée par mSpy pour gérer son service après-vente. La fuite concerne plus de 100 gigaoctets de données, comprenant des e-mails, des informations personnelles et des pièces jointes sensibles.
mSpy, le logiciel de contrôle parental à double tranchant
mSpy, que nous avons testé chez Clubic et classé en tête de notre comparatif des logiciels de contrôle parental, est à l'origine destiné à protéger les enfants des dangers que représente la navigation sur Internet. Son installation et son utilisation sur le smartphone d'un mineur sont autorisées par la loi française. Pour un adulte, le consentement de la personne surveillée est requis. Cependant, la réalité est plus complexe.
L'application permet de suivre en temps réel l'activité d'un téléphone : messages, appels, géolocalisation, navigation Internet... Elle s'adresse officiellement aux parents inquiets ou aux employeurs soucieux de la productivité de leurs équipes. Mais elle sert aussi à espionner des conjoints ou des collègues à leur insu.
L'ANSSI rappelle que l'intimité de la vie privée et le secret des communications sont protégés par la loi. Violer ces principes est passible d'un an de prison et 45 000 euros d'amende. L'interception des télécommunications ou l'installation d'appareils d'écoute sont tout aussi illégales.
mSpy n'est donc pas illégal. C'est son utilisation abusive qui pose problème. L'application a d'ailleurs aidé des parents à détecter des cas de cyberharcèlement. Mais elle reste controversée, car elle peut facilement devenir un outil de contrôle excessif, voire de harcèlement.
mSpy et Zendesk restent muets sur cette fuite de données, en attendant, que faire ?
La faille de sécurité concerne des tickets d'assistance client datant de 2014. Ces données étaient stockées sur la plateforme Zendesk, utilisée par mSpy pour gérer son service client. L'ampleur de la fuite est considérable : plus de 100 gigaoctets de données, comprenant des millions de tickets individuels.
Ces tickets contiennent des informations personnelles, des e-mails d'assistance et des pièces jointes, y compris des documents sensibles. On y trouve les coordonnées des clients, mais aussi des détails sur les personnes qu'ils surveillaient. Certains messages révèlent des demandes d'aide pour espionner secrètement des partenaires ou des proches.
Pour l'instant, ni Brainstack (la société derrière mSpy) ni Zendesk n'ont réagi officiellement à cette fuite, malgré notamment les demandes de nos confrères de TechCrunch. En attendant une communication officielle, Clubic vous donne quelques conseils.
- Vérifiez si votre adresse e-mail figure parmi les données compromises via le site Have I Been Pwned ;
- Changez les mots de passe associés à cette adresse e-mail ;
- Restez vigilant face aux tentatives de phishing qui pourraient exploiter ces informations.
Source : TechCrunch