«Découvrez leur vie secrète en ligne ou simplement depuis votre téléphone ou ordinateur.» Dénichée par Joseph Cox de Motherboard et diffusée sur Facebook, la promesse est celle de pcTattletale, un «stalkerware» (comprendre un mouchard numérique) vendu de manière très officielle à quiconque souhaite espionner les activités quotidiennes de sa femme ou de son mari, de ses enfants, de ses employés, de son amant.
Comme le rappelle l'ANSSI, l'espionnage de l'intimité des proches ou de leurs subordonnés est interdit par la loi, cette cybersurveillance domestique constituant une nouvelle forme de violence numérique aux conséquences physiques parfois extrêmes.
Il reste néanmoins relativement aisé de dégotter sur le net l'un ou l'autre de ces petits mouchards numériques, capables une fois installés de vous renseigner sur les activités, contacts, messages, sites visités de vos cibles.
Développé par Bryan Fleming, qui explique fièrement avoir 40.000 clients actifs chaque mois et une demande ne faiblissant pas, pcTattletale est l'un de ces logiciels, et peut être installé sur un ordinateur équipé de Windows ou un smartphone tournant sous Android.
«Pour surprendre votre femme en utilisant un téléphone Android, tout ce dont vous avez besoin est de son mot de passe et de cinq minutes avec l'appareil. Le meilleur moment pour s'en occuper, est quand elle dort», vante sans fard l'un des guides offerts par le site de l'entreprise, qui offre mille conseils pour réussir son espionnage sans se faire pincer.
Partout, tout le temps
Mais pour ajouter un étage à l'enfer que constitue cet angoissant espion, il semble que les données aspirées par pcTattletale ne soient pas accessibles uniquement par l'indélicat ou l'indélicate l'ayant installé, mais par quiconque disposant d'un ordinateur et d'un navigateur internet.
Comme l'ont montré des spécialistes en cybersécurité à Motherboard, les captures d'écrans effectuées par le stalkerware sont téléversées sur un simple serveur AWS non sécurisé, et accessibles via une simple URL, sans qu'aucune identification ne soit requise.
Pire: la forme même des URL (une identification pour l'appareil, et une date à la seconde près) ouvre même la porte, selon eux, à des attaques par force brute, donc au dévoilement d'infinis secrets par de quelconques pirates aux connaissances techniques plutôt minimales.
Pour ajouter encore à l'horreur de la chose, le mouchard peut être essayé gratuitement pendant sept jours, période au-delà de laquelle il semble que les données soient conservées sur les serveurs non-sécurisés.
