Connexion
Abonnez-vous

Une fuite du stalkerware mSpy expose les données de millions d’utilisateurs

Tel est pris qui croyait prendre

Une fuite du stalkerware mSpy expose les données de millions d’utilisateurs

La fuite de données contient des informations personnelles relatives aux clients comme aux victimes du logiciel espion, de même que des informations sur l'entreprise qui le gère, Brainstack.

Le 15 juillet à 13h44

Le service de surveillance des téléphones mSpy, plus couramment qualifié de « stalkerware », a été attaqué. Les hackeurs sont repartis avec des millions de données relatives aux clients du logiciel. 



Dans le lot : des informations personnelles, des tickets du service clients, des mails envoyés au même service client, pièces jointes comprises, etc. Ces plus de 300 Go d’informations, dont certaines remontent jusqu’à 2014, ont été récupérés via le système de relation client (CRM) de l’application, construit sur Zendesk, d’après TechCrunch.

Un logiciel de « contrôle parental » qui vise en réalité des adultes en mal de contrôle

mSpy est un logiciel d’un genre particulier. S'il se vend officiellement comme un outil de « contrôle parental », voire de suivi des employés, nous expliquions en 2022 qu’il vise et est principalement utilisé par des personnes en mal de contrôle sur leur partenaire.

En pratique, les données volées à mSpy comptent 142 Go de données utilisateurs et de tickets et 176 Go de pièces jointes, au milieu desquelles le gérant du site Have I been Pwned relève 2,4 millions adresses e-mails, adresses IP et photos à ajouter à sa bibliothèque d’éléments ayant déjà fuités.

Les messages au service client consistent en de nombreuses demandes d’aide pour traquer les téléphones de partenaires ou de proches, à leur insu. TechCrunch y a notamment repéré des requêtes formulées par des cadres de l’armée états-unienne, d’un juge fédéral, et d’un bureau de police d’un comté de l’Arkansas demandant un essai gratuit.

Le média relève aussi la présence de nombreuses adresses e-mails de personnes visées par le logiciel espion, ainsi que la démonstration que mSpy a, dans un cas, fourni les données d’un client suspecté de kidnapping et d’homicide à un agent du FBI.

Maia arson crimew, l'hacktiviste suisse spécialiste des stalkerwares à qui une source anonyme avait fourni un dump complet du helpdesk de mSpy, l'a depuis confié au site Distributed Denial of Secrets qui, dans la foulée de WikiLeaks, s'est spécialisé dans la publication de fuite de données.

Elle explique avoir découvert que, au-delà de l'utilisation du logiciel espion par des particuliers, des dizaines de sociétés de renseignement privées travaillant avec des gouvernements et même des services de police locaux avaient également contacté mSpy afin de le revendre à leurs clients respectifs, soit via une licence de masse, soit sous marque blanche.

Troisième fuite connue

En 2015, les informations de près de 700 0000 comptes de mSpy s’étaient déjà retrouvées dans la nature, d’après les données d’Have I Been Pwned. En 2018, comme le montrent certains mails de journalistes retrouvés dans le jeu tout juste fuité, le logiciel espion avait de nouveau subi une fuite de données.

À l’époque, dans le cadre de son rapport sur le pan cyber des violences conjugales (majoritairement le fait d’hommes, majoritairement sur des femmes), le centre Hubertine Auclert listait 14 logiciels espions bien référencés à destination d’un public francophone, mais sans pour autant en donner les noms.

mSpy, créée au début des années 2010, est l’une des sociétés avec la plus grande longévité dans le secteur. Cette fuite-ci permet d’apprendre que l’entreprise qui le gère s’appelle Brainstack et opère en Ukraine – les utilisateurs du logiciel, eux, sont localisés partout dans le monde.

Les attaques de fournisseurs de logiciel d’espionnage deviennent de plus en plus fréquentes, relève TechCrunch, ce qui tend à montrer leur incapacité à sécuriser les informations dont ils ont la charge, que ce soient celles de leurs clients ou celles de leurs victimes.

Des logiciels hors-la-loi

En France, l’article 226 - 1 du Code pénal punit « d’un an d’emprisonnement et de 45 000 euros d’amende le fait, au moyen d’un procédé quelconque, volontairement de porter atteinte à l’intimité de la vie privée d’autrui » par captation, enregistrement ou transmission des paroles, de l’image ou de la localisation d’une personne sans son consentement (et dans un lieu privé, pour les deux premiers éléments).

« Lorsque les faits sont commis par le conjoint ou le concubin de la victime ou le partenaire lié à la victime par un pacte civil de solidarité, les peines sont portées à deux ans d'emprisonnement et à 60 000 euros d’amende », indique le même article.

L'article 226 - 3 punit de son côté « la fabrication, l'importation, la détention, l'exposition, l'offre, la location ou la vente d'appareils ou de dispositifs techniques de nature à permettre la réalisation d'opérations » susceptibles de commettre ce type d'infractions.

Commentaires (4)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Si on ne peut plus faire confiance à une application d'espionnage, où va t'on ma petite dame :D

Ce qui me chagrine dans l'histoire est que les personnes espionnées se sont fait doublement avoir.
J'aurais moins de peine pour les conjoints jaloux crétins qui ont eu recours au service.
votre avatar
Ils n'ont pas la possibilité, suite à ces publications, de savoir justement si ils ont été victime,
Et peut être avoir les éléments nécessaires pour se retourner contre l'espionneur ?

(Je ne connais pas la "politique" des organismes à qui les données ont été transmises, ni si elle sont juridiquement recevable)
votre avatar
Une des meilleures sources de données indirectes !
Un excellent exemple de rapport efficacité/coût.
votre avatar
Il va falloir ouvrir un nouveau site web: hasmyspybeenpowned.com :craint:

Une fuite du stalkerware mSpy expose les données de millions d’utilisateurs

  • Un logiciel de « contrôle parental » qui vise en réalité des adultes en mal de contrôle

  • Troisième fuite connue

  • Des logiciels hors-la-loi

Fermer