Je me suis espionné avec un logiciel à 150€ que n'importe qui peut acheter

Je me suis espionné avec un logiciel à 150€ que n'importe qui peut acheter

Pour une somme modique, vous pouvez très facilement espionner les messages, les conversations et les photos de n'importe qui, même à l'autre bout du monde.
24.2.17

J'étais dans un bar délabré et bruyant de Berlin, en train de discuter de choses intimes avec un ami. Mais à presque 7000 kilomètres de là, quelqu'un m'écoutait depuis son appartement à New York.

D'un simple SMS, cet espion avait activé à distance le micro de mon smartphone, le transformant immédiatement en appareil d'écoute furtif. Cet exploit n'avait pas été rendu possible par un programme gouvernemental Top Secret ou par un bijou de technologie hors de prix. En vérité, n'importe qui peut faire la même chose pour à peine 150€.

Publicité

Bienvenue dans l'industrie sauvage des outils d'espionnage en vente libre - de puissants logiciels malveillants pour ordinateurs et téléphones mobiles que les compagnons jaloux, les concurrents ou les policiers véreux peuvent acheter sur Internet.

"Selon le prix que vous y mettez, vous pouvez vous retrouver avec un appareil qui fonctionne moyennement, ou quelque chose d'extrêmement puissant", m'a expliqué mar téléphone Yalkin Demirkaya, président de Cyber Diligence et enquêteur, qui a travaillé sur des affaires impliquant ce type de logiciels. Demirkaya a déjà entendu parler de cabinets d'avocats qui utilisaient des outils d'espionnage pour voler des informations sensibles à d'autres cabinets, et il a déjà traité une vingtaine de cas dans lesquels il était question d'outils d'espionnage en vente libre, sur ordinateur ou sur mobile.

Pour mieux comprendre à quel point ces logiciels sont puissants, j'ai acheté un logiciel capable conçu pour infecter les appareils Android - SpyPhone Android Rec Pro, vendu par une entreprise polonaise. L'entreprise s'adresse avant tout aux détectives, mais visiblement n'importe qui peut se fournir sur leur site web ; le site propose aussi de quoi cracker des téléphones en contournant le mot de passe.

SpyPhone Android Rec Pro enregistre des copies de tous les SMS envoyés ou reçus par le téléphone infecté, sauvegarde le journal des appels, vole toutes les photos prises par l'appareil, et indique où se trouve le téléphone à 5 mètres près grâce à un GPS. Il envoie ensuite toutes ces informations à l'adresse e-mail de votre choix, à la fréquence que vous souhaitez (une fois par jour ou toutes les heures, par exemple). Comme son nom l'indique, le logiciel intercepte également tous les appels entrants ou sortants et, comme je le disais, permet d'activer à distance le micro de l'appareil. En revanche, le SMS "d'activation" est visible sur l'appareil ciblé, ce qui peut potentiellement alerter la victime pour peu qu'elle soit méfiante.

Publicité

(Pour des raisons légales, j'ai informé tous mes interlocuteurs que nos conversations étaient espionnées.)

Juste après avoir passé commande, la compagnie m'a envoyé un e-mail contenant un lien de téléchargement du logiciel, une facture, et un manuel d'utilisateur.

"En raison des changements constants de la détection d'applications par Google, nous vous recommandons de télécharger le logiciel directement depuis le navigateur de votre téléphone en utilisant le lien suivant", disait l'e-mail. C'était un fichier .APK, donc une application Android. Le programme coûtait 150€.

En quelques minutes, j'ai téléchargé le logiciel, désactivé un paramètre de sécurité Android pour pouvoir l'installer, entré ma clé de souscription, et j'étais prêt à collecter des données. Si j'avais voulu le faire très vite - pendant que ma cible avait laissé son téléphone sur la table d'un bar le temps d'aller aux toilettes, par exemple - j'aurais pu tout configurer en quelques secondes.

Par défaut, l'interface utilisateur du logiciel apparaît sur l'écran d'accueil du téléphone comme n'importe quelle application, mais on peut la cacher d'un simple clic. En plus d'activer le micro grâce à un message spécifique, les SMS peuvent être utilisés pour modifier à distance les paramètres du logiciel, ou pour désactiver l'espionnage.

Photos captured with SpyPhone Android Rec Pro

Photos capturés par l'auteur grâce à SpyPhone Android Rec Pro. Images: Motherboard

Je suis allé me promener dans Berlin avec mon téléphone infecté, suivant un trajet très touristique : Alexanderplatz, puis l'île aux Musées, avant d'aller me poser dans un petit coffee shop de Friedrichshain, et enfin de retraverser la ville pour rejoindre le bar miteux dont je parlais plus haut, où "l'espion" - un collègue à New York - a activé le micro de mon appareil. Toutes les 5 minutes, le téléphone enregistrait ma position par GPS, et le logiciel volait en silence toutes les photos que je prenais.

Pendant ce temps-là, les rapports transmis automatiquement incluaient la latitude et la longitude de mon téléphone, et un lien vers sa localisation sur Google Maps. Le journal des appels incluait aussi des fichiers audio des conversations, et le logiciel informait même "l'espion" quand j'éteignais mon téléphone (aucune donnée ne peut être collectée quand il est éteint).

Une carte indiquant toutes les localisations enregistrées par le logiciel.

SpyPhone Android Rec Pro est loin d'être le seul logiciel-espion disponible dans le commerce. Il existe une multitude d'entreprises qui créent et vendent ce type de technologie. TheTruthSpy, par exemple, affirme offrir les mêmes possibilités, mais aussi être en mesure de surveiller les messages WhatsApp, les chats Facebook, et l'historique de navigation sur Internet.  XNSpy, de son côté, promet de continuer à collecter des données sur la cible même quand l'appareil n'est pas connecté à Internet. Enfin, Highster Mobile affirme que ses utilisateurs peuvent activer l'appareil photo du téléphone à distance.

Publicité

Clairement, ces logiciels sont extrêmement puissants. Comme l'a découvert l'expert en sécurité Morgan Marquis-Boire, certains de ces programmes ont été copiés par des agences gouvernementales, qui utilisent un code similaire. Mais ces logiciels en vente libre ne sont pas destinés aux gouvernements. À vrai dire, nombre des entreprises qui les proposent s'adressent de façon explicite aux maris jaloux - ou aux femmes - qui veulent espionner leur moitié.

"Beaucoup de gens trompent leur conjoint. Tout le monde a un téléphone portable. Son téléphone vous dira ce qu'il ou elle vous cache."

"Beaucoup de gens trompent leur conjoint. Tout le monde a un téléphone portable. Son téléphone vous dira ce qu'il ou elle vous cache", peut-on lire sur le site de FlexiSpy, l'une de ces compagnies.

Cindy Southworth, vice-présidente du National Network to End Domestic Violence, cite plusieurs exemples, y compris un site nommé HelloSpy.

"On y voyait l'image d'une femme jetée d'un lit dans le cadre de leurs pubs pour leurs produits d'espionnage conjugal", m'a-t-elle raconté par téléphone. À l'heure actuelle, on trouve toujours sur le site de HelloSpy la photo d'une femme au visage ensanglanté et tuméfié.

"C'est répugnant, c'est sexiste, c'est dégueulasse", ajoute Southworth.

Screenshot from HelloSpy's website

Capture d'écran du site de HelloSpy. Image: HelloSpy.

Les logiciels-espions utilisés pour surveiller l'être aimé ou faciliter les violences conjugales ne sont pas nouveaux ; ils existent depuis presque 20 ans, et de nombreux cas impliquent des appareils qui ont été hackés. Mais la plupart de ces logiciels sont inconnus du grand public, et les autorités ne se sont pas penchées sur la question.

Au tournant du siècle, des espions utilisaient des programmes pour surveiller les gens qui utilisaient des machines Windows. En 2001, Steven Paul Brown avait installé un logiciel baptisé eBlaster sur l'ordinateur de son ex-femme, qui transmettait tout son historique de navigation à Brown par e-mail. En 2006, un étudiant informatique anglais de 28 ans a été condamné à la prison à perpétuité pour avoir tué sa femme à coups de couteau. Il avait préalablement installé un logiciel assez sophistiqué pour espionner son ordinateur.

Publicité

Un an plus tard, un policier a été accusé d'avoir espionné son ex-petite amie grâce à un logiciel créé par Real Tech Spyware. Le logiciel, envoyé à la cible en tant que pièce jointe à un mail, enregistrait tout ce qui était tapé sur le clavier, donnant ainsi au policier accès au compte e-mail de son ex-copine. Selon les médias de l'époque, l'homme avait déjà avoué avoir eu recours à des logiciels pour espionner des femmes. Et la même année, un homme d'Austin, au Texas, a été condamné à quatre ans de prison pour avoir installé SpyRecon sur l'ordinateur de son ex-femme. Le logiciel recensait tous les sites qu'elle avait visités et transmettait tous ses messages à son ex-mari.

Mais l'arrivée des smartphones a ouvert un nouveau boulevard à la surveillance. Les logiciels sont soudain devenus capables d'intercepter des appels téléphoniques, de traquer la localisation d'un appareil au fil des déplacements de son propriétaire, et d'extraire les informations collectées par les applications. En 2014, Cid Torrez a été accusé d'avoir infecté le téléphone professionnel de sa femme (il avait été reconnu coupable de son meurtre quelques années plus tôt). L'année suivante, un homme a utilisé un logiciel de surveillance pour espionner le téléphone de son ex-femme au cours d'une procédure de divorce.

Évidemment, tous les cas d'espionnage ne finissent pas devant les tribunaux, et seule une infime partie aboutissent à une condamnation. Une enquête de 2014 avait révélé que 75% des foyers pour victimes de violences domestiques avaient eu affaire à des victimes que leurs agresseurs avaient espionnées grâce à des applications cachées.

A sample of a report containing SMS records.

Exemple de rapport contenant des enregistrements de SMS. Image: Motherboard

Certaines entreprises qui proposent ce genre de logiciels incluent des conditions générales d'utilisation sur leur site, sans doute pour prendre leurs distances avec ce type d'affaires.

"LOGICIEL CONÇU POUR UNE UTILISATION STRICTEMENT LÉGALE", peut-on lire sur le site de mSpy. J'ai envoyé une liste de questions détaillées à l'entreprise qui vend SpyPhone Android Rec Pro concernant son produit, sa légalité, et ses usages potentiels, mais je n'ai pas reçu de réponse.

Publicité

Les entreprises qui vendent des logiciels espions ont pourtant déjà été attaquées par les autorités, en particulier celles qui s'adressent explicitement aux époux jaloux.

En 2005, les autorités fédérales ont condamné Carlos Enrique Perez Melara, le créateur d'un logiciel à 89$ baptisé "Loverspy", pour pas moins de 35 charges criminelles. Le logiciel se propageait grâce à des images en apparence innocentes qui, lorsque l'on cliquait dessus, installaient le logiciel sur la machine ciblée. Un millier de personnes à travers le monde avaient acheté le programme et l'avaient utilisé pour extraire des informations de plus de 2000 ordinateurs, selon le FBI. Deux hommes et deux femmes ont également été condamnés pour leur utilisation de l'outil. Perez Melara échappe toutefois aux autorités depuis plus de dix ans. Il a été ajouté à la liste des criminels les plus recherchés par le FBI en 2013.

Les enquêteurs ont eu plus de succès avec Hammad Akbar, le PDG d'une entreprise qui vendait un logiciel nommé StealthGenie. Akbar a plaidé coupable, et a du payer une amende de 500.000$.

D'après Demirkaya, suite à cette affaire, certaines entreprises ont privé leurs logiciels de la capacité à intercepter les appels. Mais au final, les autorités n'ont pas fait grand-chose pour empêcher le marché de la surveillance en vente libre de croître.

Quant à moi, dans mon bar berlinois, mon téléphone était censé arrêter d'enregistrer ce que je racontais au bout de trois minutes. Mais depuis, je ne peux plus m'empêcher de regarder son écran noir, en me demandant s'il ne m'écoute pas encore.