Passer au contenu

Des téraoctets de données ont fuité chez l’éditeur de logiciels espions SpyFone

Stockage cloud en libre accès, serveurs applicatifs non protégés, interface de programmation trouée… Au niveau sécurité, il est difficile d’imaginer pire que cet éditeur spécialisé dans le contrôle parental.

La série noire dans le marché des logiciels d’espionnage grand public continue. Après le piratage de l’éditeur SpyHuman en juillet dernier, c’est au tour de SpyFone d’être épinglé. En effectuant des recherches sur la Toile, un hacker est tombé sur une gigantesque base de données Amazon S3 de cet éditeur qui se positionne surtout sur le segment du contrôle parental. Selon Motherboard, cet espace de stockage – qui n’est désormais plus accessible – contenait des données des clients ainsi que des données des personnes surveillées : selfies, messages texte, messages Facebook, enregistrements audio, contacts, géolocalisations, empreintes de mots de passe et de login, etc.

Cette base était visiblement en production : Motherboard a créé un compte test de SpyFone avant de prendre quelques clichés, et le hacker a pu les récupérer presque instantanément et les transmettre au magazine. Selon lui, il était possible de naviguer à travers des « téraoctets de photos non chiffrées ». Ces données en libre-service concernaient au moins 2.208 clients pour 3.666 smartphones surveillés. Selon le chercheur en sécurité Troy Hunt, qui a pu analyser cette base dans le cadre de son site HaveIBeenPwned.com, il y avait également 44.109 adresses email uniques.

Des serveurs ouverts à tous vents

Mais ce n’est pas tout. Les serveurs applicatifs « back end » étaient également aisément accessibles depuis l’extérieur. Le hacker anonyme explique qu’il a ainsi pu se créer plusieurs comptes administrateurs et effectuer des recherches directement sur les données des clients. Enfin, il y avait une faille énorme dans l’interface de programmation de SpyFone qui permettait à n’importe qui de récupérer une liste des clients de l’éditeur, à condition de connaître la bonne URL. Motherboard a pu ainsi identifier une liste de 11.000 personnes, avec nom, prénom, email et adresse IP.

Il est rare de trouver autant d’énormités dans un seul service numérique. Pour l’association de défense des droits citoyens EFF, SpyFone est à la fois « louche, irresponsable et incompétent ». De son côté, l’éditeur essaye tant bien que mal de rectifier le tir. Une enquête interne a été lancée pour connaître toute l’étendue de cette affaire. Auprès de Motherboard, un porte-parole s’est dit soulagé que ces failles aient été trouvées par quelqu’un d’honnête. Malheureusement, personne ne sait si ce hacker était réellement le premier. Toutes ces données circulent peut-être d’ores et déjà dans le Dark Net.   

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN