Depuis quelques années, les chercheurs en sécurité s’intéressent de plus en plus à des applications mobiles appelées « stalkerware », qui permettent d’espionner son conjoint ou ses proches, par le biais d’une géolocalisation ou d’une interception de données. Strictement interdit par la loi, cette réalité nauséabonde est en fait beaucoup plus complexe et diverse.
Un groupe de sept chercheurs vient de réaliser une étude qui montre que les « stalkerware » ne sont qu’une partie d’un ensemble plus vaste baptisé « creepware ». Ce terme englobe toutes les applications grand public permettant de réaliser ce qu’ils appellent des « attaques interpersonnelles ». Et pour les trouver, les chercheurs ont développé un moteur de recherche dédié appelé « CreepRank ».
Celui-ci fonctionne selon le principe de l’association. En partant d’une liste de quelques dizaines de logiciels espions bien connus, il arrive à détecter les applications qui sont souvent installées dans leur sillage. Les chercheurs ont fait tourner cet algorithme sur une base de données fournie par Norton qui répertorie les logiciels installés sur plus 50 millions de terminaux mobiles. Au final, les chercheurs ont trouvé plus de 1000 applis mobiles de type « creepware » qui, jusqu’alors, n’apparaissaient pas sur le radar des chercheurs alors qu’elles étaient bel et bien référencées sur Google Play.
Les chercheurs ont classé ces logiciels en 50 sous-catégories. On retrouve évidemment les traditionnelles applis de surveillance citées plus haut, mais aussi beaucoup d’autres. Parmi celles qui ont le plus de succès figurent les « spoofers », qui permettent d’envoyer des messages sous une autre identité et de tromper la personne ciblée. Par exemple en se faisant passer pour un (petit) ami ou pour une autorité. Une publicité de l’application Spoof Text Message suggérait le cas d’usage suivant : « Tu n’aimes pas la copine de ton meilleur pote ? Fais en sorte qu’ils se quittent ! ».
Autre catégorie relativement populaire : les « bombers ». Ces applications permettent d’envoyer un grand nombre de messages vers une personne ciblée, dans un but de la faire craquer. Beaucoup de ces « creepware » se spécialisent aussi dans les réseaux sociaux, par exemple pour automatiser la publication de messages malveillants. Certains outils permettent même de contourner la censure des plateformes en transformant un message ignoble en image, graphique ASCII ou suite d’emojis.
Une catégorie également bien vicieuse est la « fausse surveillance ». Installées sur le terminal du harceleur, ces applications simulent le piratage ou la localisation du terminal de la personne ciblée. Pourquoi ? Le but est de faire peur en révélant l’interface de l’appli à la personne ciblée qui pense que c’est vrai.
Les chercheurs ont alerté Google en juin 2019 sur l’existence de ces applications. Au final, 813 ont été supprimées du Play Store. Interrogé par le blog OneZero, l’un des chercheurs de cette étude explique que Google a bien eu du mal à réagir face à cette révélation, car les auteurs de ces applications entretiennent toujours un flou sur le but réel de leur usage. Par ailleurs, le géant du web a toujours été plus permissif qu’Apple sur ce genre de question. Mais l’histoire risque de se répéter. Comme le souligne OneZero, certaines de ces applications sont déjà de retour sur le Play Store, dotées d’un nom et de descriptifs à peine plus innocents qu’avant.
Source : OneZero