« Le Big Brother que vous emmenez volontiers en poche. » – Voilà ce que pourrait très bien être le slogan de TheTruthSpy, cette application d’espionnage grand public qui a transformé des milliers de smartphones Android en mouchards de poche. Mais pas de chance, la sécurité n’est clairement pas leur fort, si l’on en croit la faille béante qu’ils ont laissée grande ouverte.
Deux collectifs de hackers, nos Sherlock de la toile moderne, ont déniché une vulnérabilité si évidente chez TheTruthSpy que c’est un miracle qu’elle ne soit pas devenue un secret de Polichinelle avant. Ces virtuoses de la bidouille, SiegedSec et ByteMeCrew, ont joué les Robin des Bois 2.0 en décembre dernier – sans pour autant diffuser les données sensibles qu’ils ont pu exhumer.
Maia Arson Crimew, une hackeuse Suisse, a levé le voile sur cette affaire en partageant un butin de données volées relevant du même arsenal de l’espionnage déloyal. De quoi écrire un roman d’espionnage… ou plutôt un rapport de sécurité bien alarmant!
C’est l’histoire de deux collectifs de hackers qui ont trouvé la clef sous le pot de fleur numérique.
Imaginez donc, dans ce cocktail d’informations subtilisées, des numéros IMEI uniques et des identifiants de publicité pour des dizaines de milliers de mobiles Android, récoltés par TheTruthSpy. Chez TechCrunch, après avoir soulevé le rideau déjà entrouvert lors d’une précédente enquête, on a pu constater que le piratage continuait de plus belle, avec une cartographie s’étendant sur toute la planète.
Pour couronner le tout, TechCrunch a joué les Chevaliers des Temps Modernes en étoffant son outil de vérification gratuit. Voilà qui permet à tout un chacun de vérifier si son Android a été compromis par l’app indiscrète. C’est comme un test de grossesse numérique, mais pour savoir si votre téléphone a été fécondé par un logiciel espion indésirable.
Quand on gratte un peu la pellicule de ces observations, on découvre que les supers vilains de cette histoire viennent d’une startup vietnamienne, 1Byte, qui a joui d’une manne financière en s’adonnant à ces pratiques, via de fausses identités américaines et des documents falsifiés des plus créatifs.
Alors que certains terminent leur vie sur E-bay, d’autres, comme TheTruthSpy, se voient expulsés des serveurs américains pour finir leur existence dans les contrées lointaines de Moldavie. Aux dernières nouvelles, Big Brother est toujours actif et toujours aussi peu scrupuleux concernant la confidentialité des données qu’il enregistre. Allez savoir, à ce rythme, si TheTruthSpy ne finira pas par espionner les Martiens!
Vu dans cet état, TheTruthSpy rappelle un peu ce copain un peu collant qui sait tout de vous et tient à le partager avec le monde entier. Et souvenez-vous, si votre smartphone se met soudainement à vous poser des questions sur votre journée, il pourrait bien être temps d’investiguer… N’oubliez jamais qu’un Android peut en cacher un autre!
Source : Techcrunch