Un fabricant de stalkerware qui a été interdit de l’industrie de la surveillance après une violation de données qui a exposé les informations personnelles de ses clients, ainsi que celles des personnes qu’ils espionnaient, ne pourra pas revenir à la vente de ce logiciel envahissant, selon la Federal Trade Commission des États-Unis.
La FTC a refusé une demande d’annulation de cette interdiction formulée par Scott Zuckerman, le fondateur de l’entreprise d’espionnage grand public Support King et de ses filiales SpyFone et OneClickMonitor.
Le lundi, la FTC a annoncé le refus dans un communiqué de presse après que Zuckerman ait demandé à la commission fédérale d’annuler ou de modifier l’ordre d’interdiction en juillet de cette année.
En 2021, la FTC a interdit à Zuckerman de « proposer, promouvoir, vendre ou faire de la publicité pour une application, un service ou une entreprise de surveillance », l’empêchant ainsi efficacement de diriger une autre entreprise de stalkerware. L’agence a également ordonné à Zuckerman de supprimer toutes les données collectées par SpyFone, ainsi que de se soumettre à des audits fréquents et d’établir certaines pratiques de cybersécurité pour ses entreprises.
Dans sa pétition, Zuckerman a affirmé que les exigences de sécurité de l’ordre de la FTC ont rendu plus difficile pour lui de gérer ses autres entreprises en raison des coûts financiers, bien que Support King ne soit plus en activité et qu’il ne gère désormais qu’un restaurant et planifie d’autres « projets touristiques » à Porto Rico, selon la pétition.
L’interdiction de la FTC découle d’un incident survenu en 2018, lorsqu’un chercheur en sécurité a découvert un compartiment Amazon S3 appartenant à SpyFone qui laissait des données extrêmement sensibles – y compris des selfies, des messages texte, des messages d’application de chat, des enregistrements audio, des contacts, des localisations, des mots de passe hachés et des identifiants de connexion, et plus encore – exposées en ligne pour que tout le monde puisse les voir et y accéder.
Les données exposées comprenaient 44 109 adresses e-mail uniques et, selon le chercheur qui a découvert la faille, « au moins 2 208 ‘clients’ actuels et des centaines ou des milliers de photos et d’audio dans chaque dossier » provenant de 3 666 téléphones sur lesquels l’application stalkerware de SpyFone était installée.
Moins d’un an après l’ordonnance de la FTC de 2021, TechCrunch a rapporté que Zuckerman semblait diriger une autre entreprise de stalkerware. En 2022, TechCrunch a reçu un ensemble de données violées de l’application de stalkerware SpyTrac. Les données ont révélé que SpyTrac était géré par des développeurs indépendants ayant des liens directs avec Support King, dans ce qui semblait être une tentative de contourner l’interdiction de la FTC. De plus, les données violées comprenaient des enregistrements de SpyFone, que Zuckerman avait été ordonné de supprimer, et des clés pour accéder au stockage cloud de OneClickMonitor, une autre de ses applications de stalkerware.
Eva Galperin, une experte renommée en stalkerware, a célébré la nouvelle. « M. Zuckerman espérait clairement que s’il se faisait discret pendant quelques années, tout le monde oublierait les raisons pour lesquelles la FTC a émis une interdiction non seulement contre l’entreprise, mais aussi contre lui spécifiquement », a déclaré Galperin à TechCrunch.
Les applications de stalkerware permettent à leurs clients d’espionner secrètement les téléphones et les appareils de leurs proches. En plus de faciliter des activités potentiellement illégales, au cours des huit dernières années, au moins 26 entreprises de stalkerware ont été piratées ou ont laissé des données sensibles exposées en ligne, selon le décompte de TechCrunch. Ces incidents répétés montrent que ces entreprises ont régulièrement échoué à protéger la vie privée de leurs clients, ainsi que des personnes qu’ils espionnent.