Amazon ne dira pas s'il prévoit de prendre des mesures contre trois applications de surveillance téléphonique qui stockent de grandes quantités de données téléphoniques privées sur les serveurs cloud d'Amazon, malgré le fait que TechCrunch ait averti la géante de la technologie des semaines plus tôt qu'elle hébergeait les données téléphoniques volées.
Amazon a déclaré à TechCrunch qu'elle "suivait [son] processus" après notre notification de février, mais au moment de la publication de cet article, les opérations de stalkerware Cocospy, Spyic et Spyzie continuent de télécharger et de stocker des photos exfiltrées des téléphones des personnes sur Amazon Web Services.
Cocospy, Spyic et Spyzie sont trois applications Android presque identiques qui partagent le même code source et un bug de sécurité commun, selon un chercheur en sécurité qui l'a découvert et a fourni des détails à TechCrunch. Le chercheur a révélé que les opérations ont exposé les données téléphoniques de 3,1 millions de personnes, dont beaucoup sont des victimes ne se doutant pas que leurs appareils ont été compromis. Le chercheur a partagé les données avec le site de notification de violation Have I Been Pwned.
Dans le cadre de notre enquête sur les opérations de stalkerware, qui comprenait l'analyse des applications elles-mêmes, TechCrunch a découvert que certains contenus d'un appareil compromis par les applications de stalkerware sont téléchargés sur des serveurs de stockage gérés par Amazon Web Services, ou AWS.
TechCrunch a informé Amazon le 20 février par e-mail qu'elle hébergeait des données exfiltrées par Cocospy et Spyic, et à nouveau plus tôt cette semaine lorsque nous avons informé Amazon qu'elle hébergeait également des données téléphoniques volées exfiltrées par Spyzie.
Dans les deux e-mails, TechCrunch a inclus le nom de chaque "bucket" de stockage spécifique hébergé par Amazon contenant des données prises à partir des téléphones des victimes.
En réponse, le porte-parole d'Amazon, Ryan Walsh, a déclaré à TechCrunch : "AWS dispose de termes clairs qui exigent que nos clients utilisent nos services en conformité avec les lois applicables. Lorsque nous recevons des signalements de violations potentielles de nos conditions, nous agissons rapidement pour examiner et prendre des mesures pour désactiver le contenu interdit." Walsh a fourni un lien vers une page web d'Amazon hébergeant un formulaire de signalement d'abus, mais n'a pas commenté l'état des serveurs d'Amazon utilisés par les applications.
Dans un e-mail de suivi cette semaine, TechCrunch a fait référence à l'e-mail du 20 février précédent qui incluait les noms des "buckets" de stockage hébergés par Amazon.
En réponse, Walsh a remercié TechCrunch d'avoir "attiré notre attention sur cela", et a fourni un autre lien vers le formulaire de signalement d'abus d'Amazon. Lorsqu'on lui a demandé à nouveau si Amazon envisageait de prendre des mesures contre les "buckets", Walsh a répondu : "Nous n'avons pas encore reçu de signalement d'abus de la part de TechCrunch via le lien que nous avons fourni précédemment."
Le porte-parole d'Amazon, Casey McGee, qui était en copie de l'e-mail, a prétendu qu'il serait "inexact de la part de TechCrunch de caractériser le contenu de ce fil de discussion comme constituant un 'rapport' d'éventuels abus."
Amazon Web Services, qui a un intérêt commercial à conserver des clients payants, a généré 39,8 milliards de dollars de bénéfices en 2024, selon les résultats annuels 2024 de l'entreprise, représentant une part majoritaire du revenu annuel total d'Amazon.
Les "buckets" de stockage utilisés par Cocospy, Spyic et Spyzie sont toujours actifs au moment de la publication.
Pourquoi c'est important
La propre politique d'utilisation acceptable d'Amazon expose largement ce que la société autorise les clients à héberger sur sa plateforme. Amazon ne semble pas contester qu'elle interdit aux opérations de logiciels espions et de stalkerware de télécharger des données sur sa plateforme. Au lieu de cela, le litige d'Amazon semble être entièrement procédural.
Il n'appartient pas à un journaliste - ou à quiconque d'autre - de surveiller ce qui est hébergé sur la plateforme d'Amazon, ou sur la plateforme cloud de toute autre entreprise. Amazon dispose de ressources énormes, tant financières que technologiques, pour faire respecter ses propres politiques en veillant à ce que les mauvais acteurs n'abusent pas de son service.
En fin de compte, TechCrunch a informé Amazon, en fournissant des informations pointant directement vers les emplacements des trésors de données téléphoniques privées volées. Amazon a choisi de ne pas agir sur les informations qu'elle a reçues.
Comment nous avons trouvé les données des victimes hébergées sur Amazon
Lorsque TechCrunch apprend qu'il y a eu une violation de données liée à la surveillance - il y a eu des dizaines de piratages et fuites de stalkerware ces dernières années - nous enquêtons pour en savoir le plus possible sur les opérations.
Nos enquêtes peuvent aider à identifier les victimes dont les téléphones ont été piratés, mais peuvent aussi révéler les identités réelles, souvent cachées, des opérateurs de surveillance eux-mêmes, ainsi que les plateformes utilisées pour faciliter la surveillance ou héberger les données volées des victimes. TechCrunch analysera également les applications (lorsqu'elles sont disponibles) pour aider les victimes à déterminer comment identifier et supprimer les applications.
Dans le cadre de notre processus de reportage, TechCrunch contactera toute entreprise que nous identifions comme hébergeant ou soutenant des opérations de logiciels espions et de stalkerware, comme le pratiquent généralement les journalistes qui prévoient de mentionner une entreprise dans un article. Il n'est pas non plus rare que des entreprises, telles que des hébergeurs web et des processeurs de paiement, suspendent des comptes ou suppriment des données qui enfreignent leurs propres conditions de service, y compris les opérations de logiciels espions précédemment hébergées sur Amazon.
En février, TechCrunch a appris que Cocospy et Spyic avaient été violés et nous avons entrepris de mener des investigations plus poussées.
Étant donné que la majorité des victimes étaient propriétaires d'appareils Android, TechCrunch a commencé par identifier, télécharger et installer les applications Cocospy et Spyic sur un appareil Android virtuel. (Un appareil virtuel nous permet d'exécuter les applications de stalkerware dans un bac à sable protégé sans donner à aucune des applications de données réelles, telles que notre emplacement.) Tant Cocospy que Spyic sont apparues sous forme d'applications apparemment identiques et sans prétention portant le nom de "Service du système" qui tentent d'éviter la détection en se mêlant aux applications intégrées d'Android.
Nous avons utilisé un outil d'analyse du trafic réseau pour inspecter les données entrantes et sortantes des applications, ce qui peut aider à comprendre le fonctionnement de chaque application et à déterminer quelles données téléphoniques sont discrètement téléchargées depuis notre appareil de test.
Le trafic web a montré que les deux applications de stalkerware téléchargeaient certaines données des victimes, comme des photos, vers leurs "buckets" de stockage éponymes hébergés sur Amazon Web Services.
Nous avons confirmé cela plus avant en nous connectant aux tableaux de bord des utilisateurs de Cocospy et Spyic, qui permettent aux personnes qui plantent les applications de stalkerware de visualiser les données volées de la cible. Les tableaux de bord web nous ont permis d'accéder au contenu de la galerie de photos de notre appareil Android virtuel une fois que nous avions délibérément compromis notre appareil virtuel avec les applications de stalkerware.
Lorsque nous avons ouvert le contenu de la galerie de photos de notre appareil depuis le tableau de bord web de chaque application, les images se sont chargées à partir d'adresses web contenant les noms de leurs buckets respectifs hébergés sur le domaine amazonaws.com, qui est géré par Amazon Web Services.
Après avoir appris plus tard la violation des données de Spyzie, TechCrunch a également analysé l'application Android de Spyzie en utilisant un outil d'analyse du trafic et a trouvé que les données de trafic étaient identiques à celles de Cocospy et Spyic. L'application Spyzie téléchargeait également les données de l'appareil des victimes vers son propre "bucket" de stockage sur le cloud d'Amazon, information que nous avons communiquée à Amazon le 10 mars.
Si vous ou quelqu'un que vous connaissez avez besoin d'aide, la National Domestic Violence Hotline (1-800-799-7233) offre un soutien confidentiel et gratuit 24h/24, 7j/7 aux victimes de violences et abus domestiques. En cas d'urgence, composez le 911. La Coalition Against Stalkerware propose des ressources si vous pensez que votre téléphone a été compromis par un logiciel espion.
