Comment est-il possible qu’un logiciel espion, déjà tristement célèbre pour avoir exposé à plusieurs reprises les données personnelles de milliers de personnes, puisse continuer ses activités alors même qu’une vulnérabilité critique met à nu l’ensemble de ses utilisateurs, victimes comme bourreaux ?
Une nouvelle faille, révélée récemment par le chercheur en sécurité Swarang Wade, permet à quiconque de réinitialiser le mot de passe de n’importe quel compte sur TheTruthSpy et ses applications dérivées. Qui sont ces personnes qui, sans autorisation, mettent sous surveillance les téléphones de leurs proches ou collègues, et comment expliquer que des développeurs opérant dans ce secteur si sensible n’accordent qu’une importance dérisoire à la sécurité ? Où sont les garde-fous éthiques et juridiques ?
TechCrunch, le média qui a enquêté sur l’affaire, a pu vérifier en quelques minutes la réalité de cette faille auprès du chercheur. Malgré les tentatives de contact avec Thieu, le directeur de TheTruthSpy, aucune réponse, aucun correctif. Pire, celui-ci prétexte la « perte » du code source pour justifier son inaction. Peut-on tolérer un tel niveau d’irresponsabilité alors que la vie privée de milliers d’innocents reste exposée aux quatre vents ?
Le spyware TheTruthSpy ne met pas seulement en danger les victimes, mais expose aussi le manque de scrupules de ses développeurs face à la sécurité des données.
Ce n’est pas la première fois que TheTruthSpy fait la une pour de telles défaillances. Quatrième incident de sécurité recensé pour cette même application, le dernier en date n’est qu’un énième rappel des pratiques douteuses du secteur : absence de protection des données, manque de responsabilité, et même blanchiment d’argent à l’aide de faux documents comme l’ont révélé des fuites précédentes. Jusqu’où ces opérations mafieuses sont-elles prêtes à aller pour échapper aux radars des autorités… et au détriment de qui ?
Ce qui frappe, c’est la résilience de TheTruthSpy et de ses avatars. Malgré de multiples démantèlements – ou plutôt, changements de noms stratégiques – la société mère 1Byte Software, basée au Vietnam, continue de faire circuler son code défaillant à travers une constellation d’applis aussi toxiques que variées, comme Copy9 ou PhoneParental, voire MyPhones.app. Tout cela s’appuie sur un backend inchangé et déjà compromis, la fameuse JFramework. Pourquoi tant d’acharnement à maintenir en vie un système aussi fondamentalement vicié ?
Il suffit d’analyser publiquement leurs infrastructures pour constater que les failles persistent. Le stockage massif d’informations volées – messages, photos, historiques de localisation – circule toujours sur des serveurs mal protégés. Même les efforts de sensibilisation, comme les outils mis à disposition par TechCrunch pour vérifier si un téléphone a été contaminé, peinent à enrayer l’expansion. Quelles seraient alors les solutions pour mettre un terme à cette course à l’espionnage privé ? Un meilleur encadrement légal ? Une coopération internationale renforcée ?
TheTruthSpy, en se rebrandant régulièrement, échappe à toute responsabilité et prolonge la menace, indifférent à la souffrance des victimes – souvent ignorantes de leur situation. Les éditeurs de ces applications sont-ils seulement incompétents ou délibérément cyniques ? Peut-on réellement croire que des outils aussi intrusifs sont encore tolérés dans nos sociétés, malgré l’ampleur de leurs dégâts ?
Face à la multiplication des failles et à la persistance de ces pratiques, une question demeure : la lutte contre les spyware comme TheTruthSpy oblige-t-elle à repenser complètement notre façon de protéger la vie privée numérique et de poursuivre juridiquement ces acteurs mondiaux du numérique opaque ?
Source : Techcrunch
