Une fuite du stalkerware mSpy expose les données de millions d’utilisateurs

Le service de surveillance des téléphones mSpy, plus couramment qualifié de « stalkerware », a été attaqué. Les hackeurs sont repartis avec des millions de données relatives aux clients du logiciel. 



Dans le lot : des informations personnelles, des tickets du service clients, des mails envoyés au même service client, pièces jointes comprises, etc. Ces plus de 300 Go d’informations, dont certaines remontent jusqu’à 2014, ont été récupérés via le système de relation client (CRM) de l’application, construit sur Zendesk, d’après TechCrunch.

• Comment le « meilleur » stalkerware grand public s’adresse aux hommes en mal de contrôle


Un logiciel de « contrôle parental » qui vise en réalité des adultes en mal de contrôle

mSpy est un logiciel d’un genre particulier. S'il se vend officiellement comme un outil de « contrôle parental », voire de suivi des employés, nous expliquions en 2022 qu’il vise et est principalement utilisé par des personnes en mal de contrôle sur leur partenaire.

• • Derrière le détournement d’AirTag, des atteintes à la vie privée plus courantes

En pratique, les données volées à mSpy comptent 142 Go de données utilisateurs et de tickets et 176 Go de pièces jointes, au milieu desquelles le gérant du site Have I been Pwned relève 2,4 millions adresses e-mails, adresses IP et photos à ajouter à sa bibliothèque d’éléments ayant déjà fuités.

Les messages au service client consistent en de nombreuses demandes d’aide pour traquer les téléphones de partenaires ou de proches, à leur insu. TechCrunch y a notamment repéré des requêtes formulées par des cadres de l’armée états-unienne, d’un juge fédéral, et d’un bureau de police d’un comté de l’Arkansas demandant un essai gratuit.

Le média relève aussi la présence de nombreuses adresses e-mails de personnes visées par le logiciel espion, ainsi que la démonstration que mSpy a, dans un cas, fourni les données d’un client suspecté de kidnapping et d’homicide à un agent du FBI.

Maia arson crimew, l'hacktiviste suisse spécialiste des stalkerwares à qui une source anonyme avait fourni un dump complet du helpdesk de mSpy, l'a depuis confié au site Distributed Denial of Secrets qui, dans la foulée de WikiLeaks, s'est spécialisé dans la publication de fuite de données.

Elle explique avoir découvert que, au-delà de l'utilisation du logiciel espion par des particuliers, des dizaines de sociétés de renseignement privées travaillant avec des gouvernements et même des services de police locaux avaient également contacté mSpy afin de le revendre à leurs clients respectifs, soit via une licence de masse, soit sous marque blanche.

Troisième fuite connue

En 2015, les informations de près de 700 0000 comptes de mSpy s’étaient déjà retrouvées dans la nature, d’après les données d’Have I Been Pwned. En 2018, comme le montrent certains mails de journalistes retrouvés dans le jeu tout juste fuité, le logiciel espion avait de nouveau subi une fuite de données.

À l’époque, dans le cadre de son rapport sur le pan cyber des violences conjugales (majoritairement le fait d’hommes, majoritairement sur des femmes), le centre Hubertine Auclert listait 14 logiciels espions bien référencés à destination d’un public francophone, mais sans pour autant en donner les noms.

mSpy, créée au début des années 2010, est l’une des sociétés avec la plus grande longévité dans le secteur. Cette fuite-ci permet d’apprendre que l’entreprise qui le gère s’appelle Brainstack et opère en Ukraine – les utilisateurs du logiciel, eux, sont localisés partout dans le monde.

Les attaques de fournisseurs de logiciel d’espionnage deviennent de plus en plus fréquentes, relève TechCrunch, ce qui tend à montrer leur incapacité à sécuriser les informations dont ils ont la charge, que ce soient celles de leurs clients ou celles de leurs victimes.

Des logiciels hors-la-loi

En France, l’article 226 - 1 du Code pénal punit « d’un an d’emprisonnement et de 45 000 euros d’amende le fait, au moyen d’un procédé quelconque, volontairement de porter atteinte à l’intimité de la vie privée d’autrui » par captation, enregistrement ou transmission des paroles, de l’image ou de la localisation d’une personne sans son consentement (et dans un lieu privé, pour les deux premiers éléments).

« Lorsque les faits sont commis par le conjoint ou le concubin de la victime ou le partenaire lié à la victime par un pacte civil de solidarité, les peines sont portées à deux ans d'emprisonnement et à 60 000 euros d’amende », indique le même article.

L'article 226 - 3 punit de son côté « la fabrication, l'importation, la détention, l'exposition, l'offre, la location ou la vente d'appareils ou de dispositifs techniques de nature à permettre la réalisation d'opérations » susceptibles de commettre ce type d'infractions.