Cette fuite massive n'est pas le fruit du hasard. Elle est directement liée à une vulnérabilité par injection SQL, un classique du genre. Cette faille permettait à quiconque de l'exploiter d'accéder non seulement aux comptes des utilisateurs de Catwatchful, mais aussi à toutes les données qu'ils y stockaient. Les créateurs de l'application mettaient pourtant l'accent sur sa discrétion et sa soi-disant "sécurité". Leurs arguments de vente étaient clairs : "Catwatchful est invisible. Elle ne peut être détectée. Elle ne peut être désinstallée. Elle ne peut être arrêtée. Seul vous pouvez accéder aux informations qu'elle collecte."
Pourquoi une telle insistance sur la "discrétion" ?
Les promoteurs de Catwatchful la présentent comme un outil légal pour les parents soucieux de surveiller leurs enfants. Cependant, cette obsession pour la furtivité soulève de sérieuses questions. La mention explicite que l'application permet de "surveiller un téléphone sans que les propriétaires ne le sachent" a de quoi interpeller. Eric Daigle a confirmé que l'application reste effectivement cachée sur les appareils, téléchargeant les contenus en temps réel vers un tableau de bord web. Pourtant, elle dissimule aussi une porte dérobée : la simple saisie des chiffres "543210" sur le clavier du téléphone permet de la désinstaller, un détail révélé par TechCrunch. Une contradiction flagrante entre le marketing et la réalité.
Quelles sont les répercussions de cette fuite ?
La fuite de données n'a pas seulement exposé les utilisateurs et les victimes. Eric Daigle a pu, grâce aux informations dérobées, identifier les opérateurs de l'application, dont le développeur uruguayen Omar Soca Charcov. Contacté par TechCrunch, ce dernier est resté silencieux. Cet incident n'est malheureusement pas un cas isolé ; Catwatchful est la cinquième opération de stalkerware à subir une fuite de données cette année. Cela met en lumière la prolifération continue de ces logiciels, souvent mal codés et truffés de failles de sécurité, exposant ainsi leurs clients payants et leurs victimes involontaires. Google a réagi en ajoutant de nouvelles protections à son outil de sécurité Android, Google Play Protect, capable désormais de détecter le logiciel espion Catwatchful ou son installateur sur les téléphones.
Foire Aux Questions (FAQ)
Qu'est-ce qu'une application de "stalkerware" ?
Un "stalkerware" (ou "spouseware") est un logiciel espion installé secrètement sur un téléphone pour surveiller l'activité de l'utilisateur sans son consentement. Souvent commercialisées comme des outils de contrôle parental, ces applications peuvent collecter messages, photos, localisation en temps réel, et même activer le microphone et les caméras à distance, facilitant ainsi la surveillance non-consensuelle.
Comment Catwatchful a-t-elle exposé les données ?
Catwatchful a été victime d'une vulnérabilité par injection SQL. Cette faille de sécurité a permis à un chercheur d'accéder à l'intégralité de sa base de données, y compris les adresses e-mail et mots de passe en clair de 62 000 clients, ainsi que les données volées depuis 26 000 appareils de victimes.
Comment puis-je savoir si Catwatchful est installée sur mon téléphone ?
Pour savoir si Catwatchful est installée, vous pouvez essayer de composer les chiffres "543210" directement sur le clavier de votre téléphone, comme si vous passiez un appel. Si l'application apparaît, elle est présente sur votre appareil. Google Play Protect devrait également désormais vous alerter de sa présence.
