Catwatchful : quand le contrôle parental vire à la surveillance de masse
Alors que les outils de contrôle parental gagnent en popularité, une application baptisée Catwatchful vient de se révéler comme une véritable menace pour la vie privée. Un récent data breach a exposé la base de données de ce logiciel, dévoilant plus de 26 000 victimes et près de 62 000 comptes d’utilisateurs. D’apparence inoffensive, Catwatchful se positionne pourtant comme un espion numérique très sophistiqué.
Un stalkerware déguisé en application pour parents
Catwatchful se présente officieusement comme une app de monitoring familial. Une fois installée sur un smartphone Android, elle promettrait aux parents de suivre à la trace les déplacements de leur enfant, d’accéder à ses messages et même de surveiller son historique d’appels. Dans les faits, il s’agit d’un stalkerware capable de :
- Récupérer le contenu des réseaux sociaux et des applications de messagerie.
- Enregistrer les appels téléphoniques et l’audio ambiant via le micro du smartphone.
- Localiser en permanence la victime grâce au GPS intégré.
- Prendre des photos discrètement à l’insu de l’utilisateur.
Sur son site officiel, désormais inaccessible, Catwatchful se vantait d’être totalement indétectable et impossible à désinstaller sans un code spécial.
La faille SQL qui a tout révélé
La vulnérabilité exploitée est une injection SQL dans l’interface web de l’application. Le chercheur en sécurité Eric Daigle a découvert qu’en manipulant certains paramètres, il était possible d’accéder directement à la base de données principale. Celle-ci contenait :
- Les identifiants et mots de passe des utilisateurs, stockés en clair.
- Les adresses email liées aux comptes d’administration.
- Les informations personnelles des victimes : photos, enregistrements audio, positions GPS.
TechCrunch a confirmé l’existence d’environ 26 000 victimes identifiées, alors que la base globale comptait près de 62 000 enregistrements, dont des logs d’administration.
Un stockage sur Firebase et une distribution masquée
Les enregistrements et photos volés sont hébergés sur les serveurs Firebase de Google, tandis que les données d’accès des utilisateurs transitent vers les infrastructures de Catwatchful. Pour dissimuler leur présence, les développeurs ont :
- Attribué à l’application une icône banale de « Paramètres » dans le tiroir Android.
- Programmé un lancement automatique en arrière-plan à chaque redémarrage de l’appareil.
- Inclus un backdoor : en composant le code 543210 dans l’appli Téléphone, on fait apparaître un menu caché qui permet de désinstaller Catwatchful.
Jusqu’à la découverte de la faille, l’application échappait au radar des antivirus et à la protection Play Protect de Google.
Les risques pour la vie privée et la sécurité
Catwatchful n’est pas un cas isolé. De nombreux stalkerwares détournent la fonction « parental control » pour instaurer un mode de surveillance permanent. Voici les principaux dangers :
- Exposition des données sensibles : photos intimes, conversations privées et géolocalisation continue.
- Manipulation et chantage : collecte de preuves compromettantes pour faire pression sur la victime.
- Intrusion illégale : violation du Code pénal (articles 226-1 et suivants relatifs à l’atteinte à la vie privée).
Compte tenu de l’essor des objets connectés et des usages sur mobile, ce type de menaces se généralise et concerne un public de plus en plus large, au-delà du simple cadre familial.
Google Play Protect : fin de l’impunité pour Catwatchful
Suite à la révélation de la vulnérabilité, Google a mis à jour son service Play Protect pour détecter et bloquer Catwatchful. Concrètement :
- Les nouvelles installations sont désormais signalées et empêchées.
- Les appareils où l’app est déjà présente reçoivent une alerte de sécurité.
- L’installation automatique de correctifs de sécurité pour combler la faille SQL.
Les victimes potentielles sont invitées à vérifier la liste de leurs applications et à effectuer immédiatement un scan via Play Protect.
Comment se protéger et agir ?
Pour limiter les risques de surveillance :
- Vérifier régulièrement la liste des applications installées, notamment les icônes suspectes ou génériques.
- Activer Play Protect et mettre à jour l’OS Android dès que possible.
- Surveiller la consommation de données qui peut indiquer un transfert important en arrière-plan.
- Changer régulièrement ses mots de passe et privilégier l’authentification à deux facteurs.
- Installer un antivirus mobile capable de détecter les stalkerwares.
En cas de doute, il est recommandé d’effectuer une réinitialisation usine (après sauvegarde) et de réinstaller manuellement les seules applications de confiance.
Enjeux légaux et éthiques
Les développeurs de Catwatchful encourent des poursuites pour collecte illégale de données et complicité d’atteinte à la vie privée. Les autorités européennes pourraient les sanctionner au titre du RGPD :
- Amendes allant jusqu’à 4 % du chiffre d’affaires mondial annuel.
- Obligation de notification aux victimes et retrait immédiat des applications concernées.
L’affaire souligne la nécessité de renforcer la réglementation des stalkerwares et de sensibiliser le grand public aux risques numériques.