L'entreprise pcTattletale propose un outil d'espionnage payant, avec une version d'essai gratuite, pour les parents, les conjoints ou encore les employeurs qui voudraient surveiller ce qui se passe, en temps réel, sur le smartphone Android ou le PC Windows de quelqu'un… et c'est effrayant.
Le site internet de l'entreprise dispose même d'un blog dans lequel pcTattletale donne des conseils techniques pour installer l'application et faire en sorte qu'elle ne soit pas repérée par l'utilisateur.
Surveiller son conjoint, ses enfants… ses employés
Sur son site internet, pcTattletale se définit comme un « logiciel de surveillance » qui permet à ses utilisateurs « de voir ce que leurs enfants, leurs employés ou leur conjoint font en ligne ». Il est précisé que l'application fonctionne « de manière invisible en arrière-plan » et qu'elle ne peut pas être détectée. Quant au consentement des victimes de cette surveillance, il est tout simplement moqué : « Ils n'auront aucune idée que vous êtes capable de voir tout ce qu'ils font ».
Glaçant. L'application réalise donc des captures d'écran de l'appareil sur lequel elle est installée (un smartphone Android ou un PC Windows), qu'elle met en ligne sur un serveur AWS. Et il suffit à l'abonné de se connecter à son compte pcTattletale depuis son smartphone ou son ordinateur pour visualiser, en temps réel ou en replay, des vidéos reconstituées à partir de captures d'écran de chaque mouvement, saisie, et clic correspondant aux activités de sa victime.
Le blog de l'application offre même des conseils pour mettre en place cette surveillance en toute discrétion : « Vous devrez connaître son code d'accès et avoir accès au téléphone pendant environ 5 minutes. Le meilleur moment pour le faire est lorsqu'(il) dort ». L'application va même jusqu'à expliquer comment empêcher le smartphone infecté d'afficher l'application sur l'écran d'accueil…
Une application peu sécurisée
Un chercheur en sécurité, Jo Coscia, s'est penché sur le fonctionnement de pcTattletale, et ce n'est pas beau à voir. Tout d'abord, le serveur AWS sur lequel sont hébergées les vidéos de l'activité de sa victime ne nécessite aucune authentification pour visualiser les images des captures d'écran. Ce n'est pas simple, mais c'est faisable grâce à un script qui pourrait parcourir les différentes combinaisons possibles d'URL.
En effet, l'URL associée aux images est constituée de l'identifiant de l'appareil infecté, qui est un code généré séquentiellement par pcTattletale, ainsi que de la date de la capture d'écran et son horodatage à la seconde. Un script pourrait donc faire apparaître toutes les captures réalisées sur un appareil, et même découvrir les images mises en ligne à partir d'autres appareils infectés.
Pire : pcTattletale affirme que les données des utilisateurs sont supprimées après la date d'expiration de la période d'essai, mais le chercheur en sécurité a découvert que les images capturées étaient toujours accessibles une fois la date limite passée. Et selon Bryan Fleming, créateur de l'application et fondateur de l'entreprise, pcTattletale reçoit environ 40 000 visiteurs uniques par mois.
« Découvrez leur vie secrète en ligne directement depuis votre téléphone ou votre ordinateur », affiche clairement pcTattletale dans une publication sur Facebook.
Source : Vice
