Spyware déguisé en app parentale : la faille qui met en danger des milliers d’utilisateurs
Une faille majeure dans Catwatchful expose les données de dizaines de milliers de victimes à travers le monde.
Tl;dr
- Catwatchful, présentée comme une application de contrôle parental, est en réalité un spyware qui collecte en secret des données personnelles sensibles à distance, souvent utilisée par des proches pour surveiller illégalement.
- Une faille de sécurité majeure a exposé les identifiants et données de dizaines de milliers d’utilisateurs, révélant des vulnérabilités dans plusieurs applications similaires sur le marché.
- Malgré les interdictions, ces outils prolifèrent avec un codage défaillant, exposant utilisateurs et victimes à des risques importants, d’où l’importance de vigilance et d’outils comme Google Play Protect.
Un spyware dissimulé sous l’apparence d’une appli de contrôle parental
Il se présente comme une solution « child monitoring app », mais derrière cette façade rassurante, l’application Catwatchful opère en réalité comme un puissant spyware. Discrètement installée sur le smartphone d’une victime, elle collecte et transmet à distance quantité de données personnelles — photos, messages, accès aux caméras et micros, géolocalisation en temps réel — à l’insu total de l’utilisateur. Pire encore : il suffit à celui qui installe ce type d’appli d’avoir un accès physique au téléphone ciblé. Or, cette surveillance non consentie touche principalement des proches ou partenaires et s’inscrit pleinement dans la catégorie du stalkerware, une pratique illégale déjà pointée du doigt pour ses dérives.
Une faille béante met à nu des milliers d’utilisateurs
L’affaire a pris une tournure inquiétante lorsque le chercheur en cybersécurité Eric Daigle a révélé une brèche majeure dans la sécurité de Catwatchful. Dans son enquête, il détaille comment une vulnérabilité — plus précisément une API sans authentification — a rendu accessible à n’importe qui la base complète des adresses e-mail et mots de passe (en clair) de plus de 62 000 clients, ainsi que les données téléphoniques extraites auprès de 26.000 victimes. L’incident n’a pas épargné les administrateurs du service eux-mêmes. Parmi les pays les plus touchés : le Mexique, la Colombie, l’Inde, le Pérou, et l’Argentine. À noter que selon TechCrunch, il ne s’agit pas du premier scandale du genre en 2024 : cinq applications similaires ont déjà exposé des données, illustrant une industrie proliférante mais aux pratiques techniques défaillantes.
Mésusage grandissant et manque criant de sécurité
Si la multiplication des fuites prouve que ces outils se multiplient malgré leur interdiction sur la plupart des plateformes officielles, elle met surtout en lumière un manque flagrant de rigueur dans leur conception, avec un codage bâclé et des failles de sécurité exposant aussi bien les clients payants que les victimes involontaires à des risques de fuite de données. Face à cette menace, Google Play Protect a intégré des protections spécifiques afin d’alerter les utilisateurs dès qu’un logiciel espion comme Catwatchful est détecté sur un appareil Android.
Gestes simples et vigilance quotidienne
Pour ceux qui craignent d’être espionnés via ce type d’application, quelques réflexes peuvent faire la différence :
- Saisir le code 543210 sur le clavier téléphonique Android pour détecter Catwatchful.
- S’assurer que Google Play Protect est activé ; inspecter minutieusement la liste des applis et leurs permissions.
- Sécuriser ses comptes avec un écran verrouillé et l’authentification à deux facteurs.
En cas de doute ou si la désinstallation semble risquée (certaines applications préviennent l’installeur initial), il est vivement conseillé de solliciter des ressources spécialisées telles que la Coalition Against Stalkerware. Ce nouvel incident rappelle enfin que le danger ne vient pas toujours d’un inconnu malveillant mais parfois… du cercle proche lui-même.
