Un chercheur en cybersécurité a mis au jour une faille critique dans deux des stalkerwares les plus utilisés. Des millions de données personnelles ont fuité, exposant à la fois les victimes surveillées et celles et ceux qui pensaient espionner en toute discrétion.
Au classement des cybermenaces mobiles, les stalkerwares occupent une place extrêmement préoccupante. Invisibles, indétectables, ils sont installés en douce sur les smartphones des victimes, généralement par un proche agresseur, et exfiltrent une quantité impressionnante de données, parmi lesquelles messages, journaux d’appels, photos ou encore localisation GPS. Cocospy et Spyic font partie de cette gamme d’applis très problématiques. Et si elles sont aujourd’hui sous le feu des projecteurs, ce n’est pas seulement parce qu’elles mettent en danger des millions d’utilisateurs et d’utilisatrices, mais parce qu’une faille a permis d’exposer les données de leurs victimes… et de leurs espions.
2,65 millions d’adresses mail exposées et des données très personnelles en accès libre
Mais alors que s’est-il passé ? Pour retracer le fil de l’affaire, il faut remonter aux découvertes d’un chercheur en cybersécurité anonyme, dont les découvertes ont été certifiées et relayées par TechCrunch.
Au cours de son enquête, l’individu aurait découvert un bug commun à Cocospy et Spyic, lui permettant d’exfiltrer les données des serveurs des deux applications. Parmi les informations collectées, des photos, des messages ou encore des journaux d’appels extraits des smartphones et tablettes espionnés, accessibles à quiconque serait en mesure d’exploiter la faille. Une manip bien plus simple à effectuer qu’imaginé si l’on en croit nos confrères et consœurs de TechCrunch, qui ont préféré ne pas divulguer la méthode après l’avoir testé, de crainte que n’importe qui puisse, à son tour, l’appliquer à des fins malveillantes.
De l’exploitation de cette faille critique ont aussi été collectées 1,81 million d’adresses de clients Cocospy et 880 167 adresses d’inscrits sur Spyic. Le cache des adresses exposées a été transmis à Troy Hunt, administrateur de la plateforme Have I Been Pwned qui, après avoir écarté les doublons, a pu confirmer détenir un jeu de 2,65 millions d’adresses mail uniques.
Comme pour les précédentes fuites impliquant des stalkerwares, ces informations ont été marquées comme « sensibles » par le service de vérification des violations de données, ce qui signifie que seules les personnes concernées peuvent vérifier si leur adresse mail fait partie de la fuite.
Des applis illégales, principalement utilisées dans le cadre de violences conjugales
Respectivement lancés en 2018 et 2019, Cocospy et Spyic font partie des stalkerwares les plus répandus. Les deux applis fonctionnent a priori de manière identique, et reposent sur le même code source, ce qui suggère un développement commun.
Si l’identité de leur éditeur reste inconnue, des analyses menées par des chercheurs en cybersécurité en 2022 ont mis en évidence des liens avec 711.icu, développeur chinois aujourd’hui inactif. Certains messages d’erreur renvoyés par leurs serveurs sont rédigés en chinois, ce qui renforce l’hypothèse d’un développement opéré depuis la Chine.
Généralement présentées comme des solutions de contrôle parental ou de surveillance professionnelle, ces applications sont évidemment illégales et principalement utilisées pour espionner des (ex-)partenaires dans des contextes de harcèlement et de violences conjugales. Elles ne sont pas disponibles sur les stores officiels, et leur installation exige un accès physique au téléphone ciblé pour contourner les protections du système.
Une fois installées, elles opèrent en arrière-plan en toute discrétion, souvent dissimulées derrière des noms génériques comme « System Service », et permettent à l’utilisateur ou l’utilisatrice distant de surveiller en temps réel l’ensemble des activités du téléphone : localisation, appels, messages, photos, historique de navigation. Sur iPhone, elles récupèrent également les identifiants de connexion via les sauvegardes iCloud.
Comment détecter la présence d'un stalkerware sur votre smartphone
S’ils sont extrêmement discrets et difficiles à détecter, certains signes peuvent indiquer la présence de stalkerwares sur votre appareil mobile :
- Comportement inhabituel de l'appareil : si votre téléphone chauffe sans raison apparente, redémarre de manière inattendue ou affiche des performances ralenties, envisagez qu’une application malveillante puisse fonctionner en arrière-plan.
- Consommation excessive de données : une augmentation inexpliquée de l'utilisation de vos données mobiles peut indiquer que des informations sont transmises à un tiers sans votre consentement.
- Messages ou notifications étranges : la réception de messages inhabituels, composés de symboles ou de caractères aléatoires, peut signaler une tentative de communication avec un logiciel espion.
- Applications inconnues : la présence d'applications que vous n'avez pas installées, aux noms flous (System Service, Update, etc.), doit vous mettre la puce à l’oreille.
- Paramètres modifiés : des changements dans vos paramètres, tels que l'activation du Bluetooth ou du GPS sans votre intervention, peuvent indiquer une manipulation externe.
Supprimer un stalkerware sans prendre de risques
IMPORTANT : supprimer un stalkerware déclenche généralement une alerte sur le smartphone de la personne qui l’a installé, ce qui peut aggraver la situation si vous êtes sous surveillance. Avant d’agir, pensez à vous protéger en contactant les services d’aide suivants :
- Tchat « En avant toute(s) » : écoute et conseils anonymes sur www.commentonsaime.fr
- Stop Cybersexisme (Centre Hubertine Auclert) : informations sur les cyberviolences conjugales, sexistes et sexuelles, droits et démarches sur www.stop-cybersexisme.com
- 3919 – Violences Femmes Information : ligne d’écoute nationale et anonyme
- Fédération Nationale Solidarité Femmes (FNSF) : accompagnement des victimes de violences conjugales. Trouver une association près de chez vous
- CIDFF (Centres d’Information sur les Droits des Femmes et des Familles) : soutien juridique et psychologique. Trouver une association près de chez vous
- Arrêtons les Violences : site du gouvernement français.
Sources : TechCrunch, StopStalkerware.org
06 février 2025 à 09h45
