Une faille de sécurité a exposé l’intégralité des données volées par l’application espionne Catwatchful, les identifiants de ses clients… ainsi que l’identité de son développeur.
- Une faille de sécurité a exposé les données de l'application espionne Catwatchful, révélant l'identité de 62 000 comptes clients et les données de 26 000 victimes.
- L'application, classée comme stalkerware, était installée à l'insu des victimes, collectant messages, photos et localisation.
- Le développeur, Omar Soca Charcov, a été identifié grâce à ses informations personnelles présentes dans la base de données.
Installée sur des téléphones Android à l’insu de leurs propriétaires, l’application Catwatchful permettait de surveiller à distance une grande partie de leur activité. Messages, photos, localisation en temps réel, microphone, caméra, tout était transmis vers un tableau de bord en ligne accessible uniquement à la personne ayant installé l’application. Officiellement présentée comme un outil de contrôle parental, elle a rapidement été classée comme stalkerware en raison de sa distribution hors boutique officielle, de son invisibilité revendiquée et des usages qu’elle permettait. Mais la discrétion affichée par le service n’a pas résisté à un défaut majeur dans son infrastructure, qui a récemment exposé plus de 62 000 comptes, les données issues de 26 000 téléphones et, au passage, l’identité de son propre administrateur.
Une API non protégée, des milliers de victimes exposées
C’est au chercheur en cybersécurité Eric Daigle que l’on doit cette découverte. En analysant le fonctionnement de l’application, il constate que l’API utilisée pour transmettre les données entre les smartphones espionnés et les serveurs de Catwatchful n’exige aucune authentification. Autrement dit, toute personne ayant connaissance de l’URL employée par l’application pour dialoguer avec son infrastructure pouvait accéder à l’ensemble de la base de données, sans identification requise.
D’après les fichiers consultés par TechCrunch, plus de 62 000 comptes étaient enregistrés sur la plateforme, pour environ 26 000 téléphones espionnés. Les adresses mail et mots de passe de ses clients y apparaissent en clair, aux côtés des contenus collectés sur les appareils ciblés : messages, photos, enregistrements audio, données de localisation.
La majorité des appareils concernés se trouvent en Amérique latine et en Inde. Certains enregistrements remontent à 2018, ce qui laisse penser que le service est actif depuis plusieurs années. Comme d’autres applications du même type, Catwatchful est distribuée en dehors du Play Store et nécessite un accès physique au smartphone de la victime pour être installée.
L’enquête a également permis d’identifier l’infrastructure de stockage utilisée pour héberger les données. Catwatchful repose sur Firebase, la plateforme cloud de Google, pour centraliser les contenus exfiltrés. Rapidement alertée, Mountain View a intégré l’application à Play Protect, son système de détection d’apps malveillantes, qui peut désormais signaler sa présence sur les appareils Android. En revanche, l’instance Firebase est toujours accessible, Google ayant indiqué qu’une enquête était en cours.
Le développeur du spyware identifié dans sa propre base
Parmi les comptes exposés dans la base de données figure celui d’un utilisateur un peu moins anonyme que les autres. Omar Soca Charcov, développeur basé en Uruguay, a été identifié comme administrateur du service. Son adresse mail apparaît dans les tout premiers enregistrements, ce qui laisse penser qu’il s’agissait d’un compte utilisé pour les phases de test. Une hypothèse que viennent appuyer les métadonnées associées, comprenant un numéro de téléphone, le lien vers une instance Firebase utilisée par Catwatchful et une adresse de récupération reliée à une messagerie personnelle. À noter également que son profil LinkedIn, public au moment de l’enquête, a basculé en mode privé depuis.
Comme la plupart des stalkerwares, Catwatchful est conçu pour ne laisser aucune trace visible sur le téléphone ciblé. Une fois installée, l’application n’apparaît pas dans la liste des apps, n’a pas d’icône identifiable et ne génère aucune notification. Pour rappel, ces types d’outils sont le plus souvent utilisés dans des contextes de violences intrafamiliales et/ou conjugale, à l’insu de la victime. En cas de doute, il est toutefois possible de révéler sa présence en composant 543210 dans l’application Téléphone, puis en appuyant sur « appel ». Ce code, prévu à l’origine pour permettre à la personne l’ayant installée d’accéder à l’interface une fois l’application masquée, peut aussi être utilisé pour en détecter la présence.
Supprimer un stalkerware sans prendre de risques
IMPORTANT : supprimer un stalkerware déclenche généralement une alerte sur le smartphone de la personne qui l’a installé, ce qui peut aggraver la situation si vous êtes sous surveillance. Avant d’agir, pensez à vous protéger en contactant les services d’aide suivants :
- Tchat « En avant toute(s) » : écoute et conseils anonymes sur www.commentonsaime.fr
- Stop Cybersexisme (Centre Hubertine Auclert) : informations sur les cyberviolences conjugales, sexistes et sexuelles, droits et démarches sur www.stop-cybersexisme.com
- 3919 – Violences Femmes Information : ligne d’écoute nationale et anonyme
- Fédération Nationale Solidarité Femmes (FNSF) : accompagnement des victimes de violences conjugales. Trouver une association près de chez vous
- CIDFF (Centres d’Information sur les Droits des Femmes et des Familles) : soutien juridique et psychologique. Trouver une association près de chez vous
- Arrêtons les Violences : site du gouvernement français.
Source : TechCrunch
27 juin 2025 à 09h45
