Cocospy : fuite massive de l'application espionne
L'application de surveillance Cocospy a exposé environ 1,8 million d'adresses e-mail clients et des données de victimes (messages, photos, localisation) en février 2025.
- Organisation
- Cocospy (et applications sœurs Spyic, Spyzie)
- Secteur
- Réseaux sociaux / Tech
- Pays
- International (siège opérateur non identifié, victimes mondiales dont Europe)
- Date des faits
- Brèche datée du 14 février 2025 (Have I Been Pwned), révélation publique le 20 février 2025
- Ampleur
- Environ 1,81 million d'adresses e-mail de clients Cocospy (2,65 millions au total avec Spyic après dédoublonnage), plus un nombre indéterminé de victimes surveillées à leur insu
- Vecteur
- Faille de sécurité dans les serveurs des applications permettant un accès non authentifié aux données stockées (scraping des adresses e-mail et accès aux données exfiltrées des appareils des victimes)
- Données exposées
- Adresses e-mail des clients, Messages interceptés, Photos, Journaux d'appels, Données de localisation, Captures d'écran d'applications (WhatsApp, Instagram, Facebook, TikTok)
En février 2025, les applications de surveillance dites stalkerware Cocospy et son service sœur Spyic ont été touchées par une fuite de données majeure, révélée publiquement par TechCrunch le 20 février 2025. Un chercheur en sécurité a exploité une faille présente sur les serveurs de ces applications, permettant un accès non authentifié aux données stockées. Selon les éléments rapportés, environ 1,81 million d’adresses e-mail de clients Cocospy ont été collectées, soit un total d’environ 2,65 millions d’adresses uniques en combinant Cocospy et Spyic après dédoublonnage. Ces adresses ont été transmises au service Have I Been Pwned, qui date la brèche du 14 février 2025.
Au-delà des adresses e-mail des personnes ayant souscrit au service pour espionner un tiers, la faille aurait exposé les données interceptées sur les appareils surveillés, à savoir des messages, des photos, des journaux d’appels et des données de localisation. Les opérateurs des applications n’ont pas répondu aux sollicitations de la presse et n’avaient pas corrigé la vulnérabilité au moment de la publication. Les applications Cocospy, Spyic et Spyzie sont depuis devenues inopérantes, leurs sites web ont disparu et leur stockage cloud hébergé chez Amazon a été supprimé, selon TechCrunch en mai 2025.
La dimension européenne est étayée par des révélations connexes du chercheur Jeremiah Fowler, qui a identifié une base de données non protégée contenant des dizaines de milliers de captures d’écran liées à une personnalité européenne, issues de messageries et réseaux sociaux comme WhatsApp, Instagram, Facebook et TikTok. Compte tenu de la nature mondiale de ces services de surveillance, des victimes et des clients situés en France et en Europe sont nécessairement concernés, même si aucun chiffre ventilé par pays n’a été publié.
Aucune décision ni communication officielle de la CNIL ou d’une autre autorité de protection des données n’a été identifiée à ce jour concernant ce cas, et les opérateurs n’ont reconnu aucune fuite. Le statut est donc qualifié d’allégué, sur la base d’un faisceau concordant de sources de presse réputées et du service Have I Been Pwned. Les volumes exacts de victimes surveillées restent indéterminés, seuls les nombres d’adresses e-mail de clients ayant été quantifiés.
Sources
- Stalkerware apps Cocospy and Spyic are exposing phone data of millions of people (TechCrunch)
- Have I Been Pwned: Cocospy Data Breach
- Millions of stalkerware users exposed again (Malwarebytes)
- Cocospy stalkerware apps go offline after data breach (TechCrunch)
- Tens of thousands of screenshots linked to European celebrity exposed in spyware breach (Cybernews)
- Spyware Apps Cocospy and Spyic Exposed Data of Users and Victims (CyberInsider)
- Have I Been Pwned: Spyic Data Breach