C’est une chose que d’installer en douce un spyware sur le téléphone d’un individu afin d’intercepter secrètement les messages texte, les journaux d’appels, les emails, la localisation, les données du calendrier et d’enregistrer les conversations, toute ces choses qui portent atteinte à la vie privée d’autrui.
Mais c’est une autre chose que d’être l’entreprise qui fabrique et commercialise le logiciel… et, cerise sur le gâteau, d’être victime d’une violation de données qui expose non seulement les données privées des escrocs, mais aussi celles des victimes … et ce à deux reprises en trois ans !
Oui, nous parlons bien de mSpy. Le “logiciel d’espionnage par excellence” fonctionne sur les téléphones mobiles et les tablettes, y compris sur les iPhones et Androids. La société affirme qu’elle aide plus d’un million de clients payants à espionner les appareils mobiles de leurs enfants et de leurs partenaires.
NB : Est-ce illégal ? Eh bien, hum, hum, … totalement légal si la personne ciblée est mise au courant … ce que vous ferez, bien sûr, bon… bon…, de toutes les façons, c’est votre problème après tout !
La faille la plus récente, signalée pour la première fois mardi par le journaliste cybersécurité Brian Krebs, concerne des millions de documents sensibles mis en ligne, incluant des “mots de passe, journaux d’appels, messages texte, contacts, notes et autres données de localisation collectés secrètement au niveau de vos téléphones équipés du spyware furtif”.
La base de données ouverte a été découverte par l’expert en sécurité Nitish Shah.
Elle a depuis été mise hors ligne, mais alors qu’elle était encore grande ouverte, tout le monde a pu consulter cette dernière concernant ce que Krebs déclarait être des “enregistrements mSpy de dernière minute au sujet des transactions de clients sur le site mSpy ainsi que les données de téléphones mobiles collectées par le logiciel mSpy“, le tout bien évidemment sans exiger l’authentification préalable de l’utilisateur.
Ces données comprenaient les noms d’utilisateur, les mots de passe et les clés de chiffrement privées de chaque client mSpy qui s’était connecté au site mSpy ou avait acheté une licence mSpy au cours des six derniers mois. Shah a déclaré qu’avec la clé privée, n’importe qui pouvait suivre et visionner les détails d’un appareil mobile utilisant ce logiciel.
Mais attendez, ce n’est pas tout, souligne Krebs :
En plus, la base de données comprenait le nom d’utilisateur et le jeton d’authentification Apple iCloud des périphériques mobiles utilisant mSpy, ainsi que des références aux fichiers de sauvegarde iCloud. En tombant sur cette base de données, n’importe qui aurait également pu parcourir les messages WhatsApp et Facebook uploadés depuis des appareils mobiles équipés de mSpy.
Cela signifie qu’un individu aurait pu espionner un nombre indéterminé d’enfants, en plus des autres sous la surveillance mSpy, étant donné que certains parents utilisent mSpy pour suivre la trace de leurs enfants.
Voici un des témoignages du site de mSpy :
Pourquoi ai-je décidé d’utiliser mSpy ? C’est très simple, je ne vais pas rester assise, les bras croisés à attendre que quelque chose se passe. J’ai lu l’histoire d’Amanda Todd et des autres enfants. Sérieusement, la sécurité de mon fils vaut bien plus que 30$ (environ 25€).
Malheureusement, lorsque vous recueillez ce type de données personnelles, vous vous retrouvez dans une situation opposée à celle souhaitée pour la sécurité de vos enfants. Au lieu de cela, vous confiez à une entreprise les données personnelles de votre enfant, stockés en l’état dans une base de données qui est une cible privilégiée pour des escrocs tels que des trolls, des harceleurs ou autres prédateurs d’enfants. La dernière chose au monde que tout parent souhaiterait, c’est que de tels individus aient accès aux messages de leurs enfants sur les réseaux sociaux ou aux détails de leur compte, sans parler de la possibilité de suivre leurs déplacements et d’écouter leurs conversations. Mais, malheureusement, c’est le risque que vous courez lorsque vous installez un spyware : vous courez le risque que n’importe qui sur le web puisse espionner votre partenaire ou votre enfant !
Shah a déclaré qu’il a été ignoré quand il a essayé de signaler cette violation de données à mSpy. Krebs a eu plus de chance : après avoir contacté l’entreprise le 30 août, il a reçu cette réponse du responsable de la sécurité de mSpy, qui s’est identifié uniquement par “Andrew” :
Nous avons travaillé dur pour sécuriser notre système vis-à-vis de potentielles fuites de données, attaques et divulgation de données personnelles. Tous les comptes de nos clients sont chiffrés en toute sécurité et les données sont effacées après un court laps de temps. Grâce à vous, nous avons pu contenir cette possible violation et d’après ce que nous avons pu découvrir, les données dont vous parlez sont à priori des emails de clients et peut-être d’autres données. Enfin, nous avons constaté qu’il y avait peu de points d’accès et d’activité liés à ces données.
Krebs note que certains de ces “points d’accès” sont les siens et ceux de Shah. Ils ont tous deux pu voir leur propre activité sur le site en temps réel via la base de données exposée.
La première fois qu’un individu a profité d’une faille dans mSpy et a publié la base de données sur le DarkNet c’était en 2015.
À l’époque, pendant plus d’une semaine, mSpy a nié l’existence de la faille, malgré le fait que des clients aient confirmé que leurs données étaient impliquées. L’entreprise a finalement reconnu à la BBC que oui, la faille avait bien existé !
Elle a alors montré du doigt des maîtres-chanteurs et a déclaré qu’elle redoublerait ses efforts en matière de sécurité. Pourtant, Krebs souligne que plus de deux semaines après l’annonce de cette première violation, l’entreprise n’a toujours pas désactivé les liens vers d’innombrables captures d’écran sur ses serveurs qui avaient été récupérés au niveau des appareils mobiles utilisant mSpy.
Feriez-vous vraiment confiance à cette entreprise en installant ses logiciels sur les téléphones de vos proches ? Non ? Eh bien nous non plus !
Pour éviter qu’une personne ne vous le fasse, assurez-vous de sécuriser votre téléphone avec un mot de passe que vous ne partagerez avec personne : cela peut éviter que de tels spywares ne se retrouvent sur votre téléphone. Découvrez nos 10 conseils pour sécuriser votre smartphone et améliorer la protection de vos données mobiles.
Billet inspiré de Mobile spyware maker mSpy leaks millions of records – AGAIN, sur Sophos nakedsecurity.