Une application pour espionner son conjoint diffuse des captures d’écran sur le Web

Toutes les infections par un logiciel espionlogiciel espion ne proviennent pas d'un virus, d'un hacker ou d'une agence gouvernementale. Un type particulier de mouchard, le stalkerware, vise une clientèle grand public, et leur propose d'installer un programme sur l'appareil de leurs enfants, employés, ou surtout de leur conjoint, afin de suivre leur activité en ligne à leur insu. Cependant, outre les problèmes éthiques, ces logiciels sont très critiqués à cause de leur sécurité laxiste. Le dernier en date est « pcTattletale », qui diffuse des captures d'écran directement sur le Web.

« pcTattletale » est un stalkerware pour PC équipé de Windows ou appareil AndroidAndroid, vendu directement sur son site Web. C'est Joseph Cox de Motherboard qui a découvert la faille dans le logiciel. L'applicationapplication prend régulièrement des captures d'écran de l'activité de la victime, et les enregistre sur un serveur AWS sans la moindre protection.

Des images accessibles par un simple lien

Les images ne sont pas navigables, et il faut connaître l'adresse exacte de chaque capture pour y accéder. Toutefois, à partir d'une copie d'écran partagée, il est possible de créer un script d’attaque par force brute assez simple pour retrouver les autres images chargées depuis le même appareil. Théoriquement, il serait possible de découvrir les images en provenance d'autres appareils.

« pcTattletale » est même proposé en essai gratuit pendant une semaine, et les images enregistrées restent accessibles après cette période. Son développeur, Bryan Fleming, a indiqué que les données seront effectivement supprimées, mais qu'il laisse un délai après la période d'essai à ceux qui voudraient s'abonner. Attention, donc, à qui peut accéder à votre PC ou smartphone. Quelques instants suffisent à installer un stalkerware.