Comment se fait-il qu’une application de surveillance mobile puisse fonctionner à partir des serveurs d’un géant comme Google sans éveiller de soupçons ? La récente suspension de Catwatchful par Google relance la question de la responsabilité des acteurs majeurs de la tech dans la lutte contre les logiciels espions. Est-ce simplement une question technique, ou y a-t-il une tolérance tacite pour certaines « zones grises » de l’économie numérique ?
Pourquoi Google a-t-il attendu un mois après l’alerte de TechCrunch pour désactiver les serveurs Firebase utilisés par Catwatchful ? En effet, la plateforme de développement de Google hébergeait non seulement le fonctionnement du logiciel espion, mais aussi des montagnes de données dérobées à des milliers d’utilisateurs Android. Doit-on croire que la suspension tarde par manque d’effectifs, ou bien le poids des revenus générés par ces clients freine-t-il la réactivité de la société ?
La réponse officielle de Google, qui invoque un non-respect évident de ses conditions d’utilisation, ne dissipe pourtant pas toutes les zones d’ombre. Comment expliquer la difficulté systématique à endiguer la prolifération de ces applications « indétectables », pourtant régulièrement dénoncées par les experts de la cybersécurité ?
La facilité avec laquelle les appareils sont contaminés et les données exposées pose une question essentielle sur la vigilance des plateformes que nous utilisons au quotidien.
L’affaire Catwatchful révèle un système sophistiqué déguisé en application de contrôle parental, mais pensé pour enregistrer photos, messages privés et géolocalisation sans la moindre trace sur l’écran. Ce qui frappe, ici, c’est la vulnérabilité de tous : non seulement les victimes, mais aussi les clients du service, dont les mails et mots de passe figuraient en clair dans la base de données. Les risques d’exposition sont multiples : faut-il désormais intégrer le risque d’une fuite de ses données personnelles à chaque utilisation d’un logiciel connecté ?
Le chercheur en sécurité Eric Daigle a notamment découvert que la base de données de Catwatchful pouvait être consultée sans aucune authentification. Plus de 62 000 comptes clients et 26 000 appareils compromis étaient potentiellement en libre accès, tandis que l’identité de l’administrateur — basé en Uruguay, selon l’enquête — transparaît au grand jour. Mais pourquoi l’administrateur n’a-t-il pas informé les victimes d’une telle violation ? Peut-on sérieusement penser que la surveillance numérique puisse s’exercer sans danger pour aucune des parties ?
Le manque de rigueur technique apparent n’est-il pas lui-même un symptôme d’une industrie qui prospère à la frontière de la légalité ? Catwatchful n’est que le cinquième cas de fuite majeure de « stalkerware » recensé cette année. Si les moyens existent pour détecter ou désinstaller de telles applications — comme la manipulation sur clavier révélée par TechCrunch — la facilité de leur installation et la discrétion de leur fonctionnement soulèvent l’urgence d’un encadrement plus strict. Faut-il désormais craindre que de nouvelles failles soient découvertes chez d’autres opérateurs similaires ?
À l’heure où les conseils à destination des victimes se multiplient, que dire des plateformes qui hébergent ces outils ? Le marché ne doit-il pas assumer une forme de responsabilité, même indirecte, face à de tels détournements ? L’affaire Catwatchful sonne comme un rappel : la sécurité des données, ce n’est pas seulement l’affaire des utilisateurs, mais aussi celle des géants qui structurent le web. À quand une prise de conscience collective sur cette vulnérabilité active ?
Source : Techcrunch
