Que s’est-il passé ? Les piratages d’entreprises sont souvent mal vécus par le public, mais celui-ci est particulièrement inquiétant. Un cybercriminel a compromis l’application populaire de surveillance des téléphones Android LetMeSpy, volant les messages texte, les journaux d’appels et les emplacements des victimes, ainsi que les adresses électroniques des utilisateurs, et a divulgué le tout en ligne.
Le site web de LetMeSpy présente l’application gratuite comme un moyen pour les parents de surveiller les messages texte et les journaux d’appels de leurs enfants, ou pour les employeurs de s’assurer que les employés n’utilisent pas les téléphones portables de l’entreprise à des fins non professionnelles.
Le site contient un avertissement sur l’illégalité de l’installation de l’application sans le consentement de l’utilisateur, mais ce type d’application est souvent appelé « stalkerware » ou « spouseware » parce que les utilisateurs s’en servent pour harceler d’autres personnes ou leur partenaire. LetMeSpy télécharge les textes, les journaux d’appels et les données de localisation de ses victimes sur ses serveurs à l’insu de ces dernières. Les clients peuvent ensuite accéder à ces données.
Selon TechCrunch, un test publié le 21 juin sur la page de connexion de LetMeSpy indique qu' »un incident de sécurité s’est produit, impliquant l’obtention d’un accès non autorisé aux données des utilisateurs du site web ».
Les pirates ont eu accès à des adresses électroniques, des numéros de téléphone, des adresses IP, des identifiants d’utilisateurs, des journaux de paiement, des hachages de mots de passe de comptes clients et le contenu des messages collectés sur les comptes.
Les données des victimes qui ont fait l’objet de la fuite remontent à dix ans. Elles contiennent également plus de 13 400 points de données de localisation pour plusieurs milliers de victimes, dont la plupart se trouvent aux États-Unis, en Inde et en Afrique de l’Ouest.
Les créateurs de l’application ont déclaré avoir suivi plus de 236 000 appareils au début de l’année, bien que le Reg souligne que l’application ne semble fonctionner que sur les versions 4 à 7 d’Android.
La base de données principale de LetMeSpy, basée en Pologne, a également été incluse dans les données, exposant les informations de 26 000 clients qui utilisent l’application gratuitement et ceux qui ont acheté des abonnements payants. Parmi les utilisateurs figurent des fonctionnaires, des étudiants américains, un officier de police et un employé d’une application concurrente de harcèlement.
L’ampleur de l’attaque a été mise en évidence par les chercheurs qui ont été les premiers à découvrir la faille – le blog polonais de recherche en sécurité Niebezpiecznik – qui ont contacté LetMeSpy pour obtenir des commentaires. Au lieu d’une réponse de l’entreprise, ce sont les pirates eux-mêmes qui ont répondu, en prenant le contrôle du domaine de LetMeSpy.
Le pirate non identifié a laissé entendre qu’il avait supprimé la base de données de l’entreprise stockée sur le serveur avant d’en divulguer une copie en ligne plus tard dans la journée. Ils semblent également avoir affecté la fonctionnalité du site et de l’application LetMeSpy elle-même.
Sans surprise, le piratage d’une société qui aide les personnes à espionner et à traquer les autres suscite beaucoup de schadenfreude. Mais l’incident ne devrait pas être un choc, car ce type d’applications est notoirement peu sûr, comme l’illustre le nombre de piratages d’autres applications de surveillance des téléphones au cours des dernières années.
Découvrez le reportage du mois (sous-titré en français), l’IA gagnera t-elle face aux champion du monde du jeu de Go ? :
