Une base de données issue d’un logiciel espion grand public vient d’être retrouvée en ligne. Elle contient près de deux millions d’adresses mail et plus de 17 000 identifiants Apple enregistrés en clair.
Installé sous couvert de contrôle parental, SpyX dissimulait des fonctions de surveillance bien plus intrusives. Cette application mobile, non distribuée sur les stores officiels, servait en réalité à espionner appels, messages, photos et activités d’un smartphone, à l’insu de son propriétaire. Comme de nombreux autres stalkerwares avant elle, elle vient de subir une fuite massive de données, exposant près de deux millions de comptes liés au service. Parmi eux, des adresses mail appartenant aux utilisateurs de l’application, mais aussi des dizaines de milliers d'identifiants iCloud de victimes.
Une fuite massive et 17 000 identifiants en clair
La fuite remonte à juin 2024, mais n’avait encore jamais été rendue publique. Une nouvelle fois, c’est Troy Hunt, créateur du site Have I Been Pwned, qui l’a signalée à TechCrunch, après avoir reçu deux fichiers contenant près de 1,9 million d’adresses mail. Environ 40 % figuraient déjà dans sa base, signe que les utilisateurs de SpyX n’en étaient probablement pas à leur premier service du genre. Dans ce corpus, près de 17 000 combinaisons d’identifiants Apple et de mots de passe figuraient en clair, et quelque 300 000 adresses étaient aussi associées à deux applications quasi identiques, Msafely et SpyPhone.
Selon Hunt, ces identifiants permettaient d’accéder aux sauvegardes iCloud des victimes, et donc de récupérer automatiquement une copie complète de leur téléphone. Messages, photos, données d’applications : une fois les accès obtenus, le spyware téléchargeait les contenus disponibles, sans alerte visible pour les personnes ciblées. Pour vérifier l’authenticité des données, plusieurs abonnés de Have I Been Pwned ont été contactés, et toutes les personnes ayant répondu à l’appel ont confirmé que les identifiants étaient exacts.
Compte tenu du type de données exposées et de la nature même de SpyX, utilisé dans des contextes particulièrement critiques comme les violences conjugales, Hunt a classé cette fuite comme « sensible ». Seules les personnes concernées peuvent donc vérifier si leur adresse figure dans les fichiers qu’il a récupérés. Il a également transmis la liste des identifiants Apple à la firme de Cupertino, qui s’est abstenue de tout commentaire. L’éditeur de SpyX n’a pas donné suite non plus, et le numéro WhatsApp figurant sur son site officiel n’est plus actif.
À ce jour, seule Google a pris des mesures. Une extension liée à la campagne SpyX a été supprimée du Chrome Web Store, Mountain View ayant rappelé que les spywares sont interdits sur ses stores officiels.
Une désinstallation risquée, en particulier dans les contextes de violences conjugales
Face à un stalkerware, agir dans la précipitation peut aggraver la situation. Certains de ces outils sont conçus pour envoyer une alerte dès qu’ils sont désactivés ou supprimés. Lorsqu’ils sont utilisés dans des contextes de violences conjugales, ce qui est souvent le cas, cette réaction automatique peut mettre la personne ciblée en danger.
Avant toute intervention, il est recommandé de mettre en place un plan de sécurité, en s’appuyant si besoin sur des structures d’aide spécialisées. Plusieurs ressources sont disponibles :
- Tchat « En avant toute(s) » : écoute et conseils anonymes sur www.commentonsaime.fr
- Stop Cybersexisme (Centre Hubertine Auclert) : informations sur les cyberviolences conjugales, sexistes et sexuelles, droits et démarches sur www.stop-cybersexisme.com
- 3919 – Violences Femmes Information : ligne d’écoute nationale et anonyme
- Fédération Nationale Solidarité Femmes (FNSF) : accompagnement des victimes de violences conjugales. Trouver une association près de chez vous
- CIDFF (Centres d’Information sur les Droits des Femmes et des Familles) : soutien juridique et psychologique. Trouver une association près de chez vous
- Arrêtons les Violences : site du gouvernement français.
Si la situation est jugée suffisamment sûre, il est possible de prendre des mesures pour détecter ou supprimer un stalkerware. Sur Android, l’activation de Google Play Protect peut aider à repérer les applications suspectes. Des guides spécialisés permettent d’identifier les logiciels de surveillance les plus courants et de planifier leur suppression sans risque immédiat. Une réinitialisation de l’appareil et une revue complète des paramètres de sécurité sont également recommandées.
Sur les appareils Apple, le fonctionnement diffère. Les stalkerwares comme SpyX exploitent généralement l’accès aux sauvegardes iCloud. Il est donc essentiel de changer son mot de passe Apple, d’activer l’authentification à deux facteurs, de vérifier les appareils connectés au compte et de révoquer les connexions suspectes. En cas de doute sur un accès physique au téléphone, il est également conseillé de modifier le code de verrouillage.
Source : TechCrunch
27 février 2025 à 09h45
