Le projet TinyCheck, développe par le chercheur en sécurité Félix Aimé, vise à faciliter la détection sur smartphone des logiciels espion grâce à un logiciel dédié fonctionnant sur RaspberryPi.
Stalkerware : le terme n’est peut être pas forcement évident, même pour les habitués de la sécurité informatique. Cette catégorie de logiciel désigne un type de logiciel espion, souvent vendus librement mais flirtant allégrement avec les limites de la loi, et qui peuvent être utilisés pour surveiller l’activité en ligne d’un tiers à son insu, souvent un conjoint ou membre de la famille. Une problématique qui n’est pas nouvelle : en France, l’affaire Fireworld avait ainsi contribué à mettre en lumière l’activité de ces logiciels qui se vendent généralement librement en promettant à leurs utilisateurs que leur utilisation est légale. Dans les faits, la législation qui encadre ces outils est une zone grise : comme l’expliquait le Monde, la loi française vise avant tout à encadrer les dispositifs physique de surveillance et ne se prononce donc pas sur leurs équivalents logiciels. Et si Fireworld a plié boutique, pléthore de concurrents, parfois basés à l’étranger, proposent des solutions similaires.
Pas un simple antivirus
Kaspersky fait partie des éditeurs antivirus engagés au sein de la Coalition contre les stalkerwares, une organisation qui regroupe plusieurs éditeurs de logiciels antivirus et associations luttant contre la prolifération de ces logiciels espions semi-légaux. Dans ce cadre, Félix Aimé chercheur au sein de l’équipe GreAT de Kaspersky, a développe le projet Tiny Check :« L’idée est venue d’une rencontre avec le centre Hubertine Auclert, dont les membres nous ont expliqué qu’elles n’avaient ni le temps ni les compétences pour détecter des logiciels de ce type dans leur accompagnement de victimes de violences conjugales. Donc j’ai eu cette idée de développer cette sorte de kiosque, qui permet de détecter des stalkerwares en activités sur l’appareil d’une personne. »
Le projet TinyCheck prend la forme d’un logiciel sous licence libre à destination d’un Raspberry Pi. Une fois branché et configuré, le Raspberry Pi va créer un réseau wifi dédié, auquel on pourra connecter le téléphone que l’on souhaite analyser. « Le logiciel se charge ensuite d’analyser en direct les communications réseau, et cherche à détecter la présence de stalkerwares actifs sur l’appareil » explique Félix Aimé. La solution est complètement agnostique et fonctionne aussi bien avec un smartphone Android que sur un appareil iOS ou sur d’autres appareil connectés.
Le logiciel n’analyse en effet pas le contenu de l’appareil à la recherche d’un potentiel logiciel malveillant, mais les communications réseaux en directions des services identifiés comme faisant partie de la liste des stalkerwares. « On dispose de notre propre liste d’indicateurs de compromission qui provient de chercheurs qui ont travaillé sur le sujet et de nos propres recherches » indique Félix Aimé. TinyCheck est également en mesure de mener des analyses comportementales pour détecter d’éventuels logiciel espion qui ne seraient pas répertoriés dans sa base d’indicateurs de compromission. Mais toujours sans interagir directement avec les fichiers présents sur l’appareil : c’était l’une des contraintes du projet. Un antivirus classique, fonctionnant sur l’appareil, pourrait désactiver ou bloquer le fonctionnement d’un logiciel de surveillance, mais ce comportement assez classique pour un logiciel antivirus peut causer des problèmes à la personne surveillée dans le cadre d’un cas de harcèlement conjugal par exemple. « L’objectif était de proposer une solution de détection qui ne soit pas invasive » explique Félix Aimé.
Une fois l’analyse réalisé, l’utilisateur peut récupérer un rapport lui indiquant la présence ou non de stalkerwares sur son appareil, avec plus ou moins de précision selon le besoin. « L’idée, c’est de fournir ce type d’appareil aux associations qui assistent les victimes de violence conjugale afin de les aider à identifier la présence de ce type de logiciel sur les appareils des victimes » explique Felix Aimé. Les données peuvent ensuite servir dans le cadre d’une éventuelle plainte ou pour des enquêtes de police. Pour l’instant, le projet est encore en phase d’expérimentation et d’essai avec les associations intéressées, qui aimeraient disposer d’un outil plus simple à utiliser pour des gens qui ne sont pas forcement familiarisés avec la technique. Kaspersky n’envisage pas pour l’instant de commercialiser l’outil, mais le projet est stable et peut être mis en œuvre par des personnes intéressées souhaitant le tester. Le logiciel TinyCheck est proposé sous licence libre sur Github, et est ouvert aux contributions. Félix Aimé en est pour l’instant le principal mainteneur.
Du stalkerware au spyware, il n’y a qu’un pas
Kaspersky s’est engagé depuis 2019, aux cotés d’autres éditeurs de logiciels antivirus et associations, dans un combat contre ces stalkerwares. La différence entre ces logiciels espions et des logiciels malveillants traditionnels est parfois infime, comme l’explique Arnaud Deschoux, responsable des affaires publiques chez Kaspersky: « Ce sont des logiciels qui sont généralement vendus légalement, et les éditeurs précisent que seule leur utilisation sans le consentement de la victime est illégal. Généralement, ils sont installés manuellement par une personne ayant un accès physique à l’appareil, bien souvent à l’insu de l’utilisateur. »
Ici, pas de failles, ni de phishing ou de pièce jointe malveillante, mais bien un proche ou un conjoint qui profite d’un moment d’inattention pour installer un logiciel espion sur l’appareil de sa cible. « Nous cherchons également à développer ce type d’outils pour nos antivirus, qui détectent déjà la plupart des stalkerwares identifiés mais nous réfléchissons à proposer des messages de prévention afin de mieux informer les victimes de ce type de menace » explique Arnaud Deschoux. Une évolution qui pourrait venir mettre des bâtons dans les roues des éditeurs de stalkerwares, mais ceux ci ne se font pas spécialement entendre : « Jusque là, nous n’avons eu aucun retour d’éditeur contestant notre action » explique Arnaud Deschoux.
