C’est le cinquième éditeur d’applis de « surveillance domestique » qui voit ses serveurs se faire pirater en l’espace d’un an et demi. Une grande quantité de données clients et de messages a été subtilisée, pour des raisons apparemment morales.
Si, pour une raison ou pour une autre, vous êtes attirés par les logiciels espions à usage domestique, un bon conseil : passez votre chemin. Des pirates-justiciers ont visiblement pris en ligne de mire ces éditeurs qui sentent le soufre. En l’espace d’un an et demi, cinq d’entre eux se sont fait hacker et les données personnelles de leurs clients se sont retrouvées dans la nature.
Le dernier en date à se faire avoir est SpyHuman, un éditeur indien qui propose une solution « tout en un » pour surveiller à distance l’activité du smartphone Android d’un enfant ou d’un conjoint : appels, SMS, navigation, GPS, Facebook, WhatsApp, etc. Malheureusement, une faille dans le site web de SpyHuman permettait d’accéder aux données d’appel et aux SMS que les clients surveillaient. Selon Motherboard, qui a reçu un échantillon de ces données accompagné d’une vidéo explicative, il suffisait de se loguer sur son propre compte et d’effectuer « une modification particulière » au niveau de l’URL, et hop, on accédait aux données des autres utilisateurs.
Les données et la vidéo ont été transmises à Motherboard par l’intermédiaire de Baptiste Robert, alias « Elliot Alderson », un hacker français qui s’est fait connaître en 2017 pour avoir révélé des failles et des fuites de données dans les smartphones de OnePlus et de Wiko. Baptiste Robert a pu vérifier la faille sur le site de SpyHuman et indique qu’elle permettait d’accéder à 440 millions de données d’appel.
Pour sa part, le hacker anonyme justifie son acte par l’immoralité de ces applications. « Ces logiciels espions ne devraient pas être sur le marché. La plupart des gens les utilisent pour espionner des filles et les images sont toujours sensibles. Personne n’a le droit de faire ça et les fournisseurs ne devraient pas gagner leur argent avec ça », a-t-il expliqué dans un message.
Depuis, cette faille a été colmatée. Interrogé par Motherboard, l’éditeur affirme avoir « sécurisé [ses] systèmes ». Mais le mal est fait. A première vue, l’exploitation de cette faille ne semble pas être d’une grande technicité. D’autres personnes l’ont peut-être vue et en ont profité pour télécharger des données. S’il fallait le démontrer une fois de plus, cette affaire montre clairement les risques qu’induisent ces applications pour la protection de données personnelles.
Des solutions « ridiculement vulnérables »
Ce hack fait suite à un autre survenu en février dernier. Là encore, Motherboard a reçu de manière anonyme des gigaoctets de données exfiltrées depuis les serveurs de Mobistealth et Spymaster Pro, deux éditeurs qui proposent des applis de surveillance pour Android et iOS. Ces données volées contenaient, entre autres, des informations sur les comptes utilisateurs et des messages interceptés. « C’est dégoûtant de voir que ces sites sont si accessibles et faciles à utiliser et qu’ils permettent le harcèlement à grande échelle, alors que ces sites sont si ridiculement vulnérables », a expliqué le hacker anonyme auprès de Motherboard.
Deux autres piratages se sont déroulés en avril 2017, ciblant les éditeurs FlexiSpy et Retina-X. Les données de plus de 130.000 personnes avaient alors été subtilisées. Les hackers ont justifié leurs actions pour lutter contre la prolifération de ces logiciels d’espionnage.