En janvier 2016, John* a envoyé un message tout simple à sa femme.

« Je t’aime. »

Ce n’est pas le seul message qu’elle ait reçu de lui ce jour-là. Mais à la différence de celui-ci, les autres SMS ne lui étaient pas destinés. L’épouse de John l’espionnait à son insu, recevant tous ses emails, MMS et suivant tous ses trajets grâce au système de géolocalisation GPS de son téléphone.

Ce n’est pas tout. Elle avait également entrepris de voler toutes les photos prises par son mari. Sur l’une d’entre elles, on pouvait voir John – officier de police dans une petite ville du sud-ouest des Etats-Unis – agenouillé sur le dos d’un suspect couché sur le trottoir, le visage écrasé contre le sol. Sur une autre encore, John vêtu d’une chemise et d’une cravate noire, prend un selfie boudeur devant le miroir de la salle de bains. Une troisième photo montre un échange de mails avec l’équipe de Facebook dans le cadre d’une enquête – John demandait des données confidentielles sur une cible.

Ces messages et images, qui dépeignent parfois des moments intimes du couple, ont été interceptés directement par la femme de John grâce à un logiciel de surveillance grand public édité par la société américaine Retina-X. Ironie du sort, le logiciel s’appelle PhoneSheriff.

John n’est que l’un des dizaines de milliers d’individus qui sont espionnés à leur insu au quotidien grâce à des logiciels puissants, bon marché, que n’importe qui peut se procurer. Il est désormais admis que des personnes ordinaires – avocats, enseignants, ouvriers du BTP, parents, amants jaloux – achètent des logiciels espion leur permettant d’accéder aux fichiers et données personnels d’un collègue, adversaire ou d’un proche. Or, ce phénomène prend de plus en plus d’ampleur, si l’on en croit les bases de données de Retina-X et FlexiSpy (une entreprise similaire) piratées récemment.

La faille de sécurité ayant affecté les deux sociétés – représentatives de ce nouveau marché de la surveillance à destination des particuliers – nous montre que les technologies qui étaient autrefois réservées à l’espionnage des États sont désormais des produits de consommation courants. Elle nous montre aussi que les citoyens qui souhaitent espionner leurs partenaires ou enfants grâce à un logiciel espion sont extrêmement nombreux.

En d’autres mots, la société de la surveillance commence au sein même du foyer.

Morgan Marquis-Boire est chercheur en sécurité informatique. Il a passé des mois à enquêter au sein de l’industrie des logiciels espions destinés aux particuliers, et a pu observer que cette technologie était fréquemment utilisée dans un contexte de violences conjugales. Il a également passé des années à étudier l’usage des malwares par des instances gouvernementales, et en a conclu que la surveillance domestique – aussi appelée stalkerware ou spouseware – méritait autant, si ce n’est plus d’attention que l’espionnage « traditionnel » à des fins géopolitiques, car il était très répandu. De plus, ses victimes étaient « des individus ordinaires ».

Selon le chercheur, les malwares sophistiqués utilisés par les gouvernements peuvent être comparés à « des agents pathogènes » qui contaminent le corps, tandis que les stalkerwares seraient analogues au « rhume ou à la grippe » : ils ne sont pas exotiques et sont rarement pris au sérieux, ce qui ne les empêche pas de « tuer de nombreuses personnes chaque année », explique Marquis-Boire à Motherboard.

130 000 personnes environ possèdent un compte Retina-X ou FlexiSpy, selon les données que deux hackers ont fournies à Motherboard, en partie via la plateforme SecureDrop. Le nombre total d’utilisateurs de ces applications outrepasse probablement ces estimations.

Parmi les clients de FlexiSpy, on trouve un enseignant du primaire d’une école de Washington, un dresseur de chiens de Géorgie, et le président d’une firme d’opticiens de New York.

« J’ai utilisé ce service pour confirmer que mon ex-copine me trompait. Ça m’a permis d’obtenir un enregistrement audio d’elle en plein acte sexuel. »

En fonction du logiciel installé (FlexiSpy ou Retina X) sur le smartphone de la victime (ce qui exige donc d’obtenir un accès physique à l’appareil), l’utilisateur peut intercepter des conversations téléphoniques, activer le micro de l’appareil à distance, lire des SMS, suivre la localisation du téléphone ou encore enregistrer l’historique de navigation de l’utilisateur.

Retina-X est utilisé par le vice-président d’une banque de dépôt de Los Angeles, par le fondateur d’une grande firme de recrutement de Chicago, et, bien sûr, par l’épouse de John. L’entreprise développe deux autres applications, SniperSpy et TeenShield.

Les clients de FlexiSpy et Retina-X ont payé entre 50 et 200 dollars seulement pour utiliser le service, selon le type de souscription (mensuelle ou annuelle).

Motherboard a pu identifier les propriétaires des comptes concernés en utilisant les adresses email et noms mentionnés dans le jeu de données piratées, avant d’effectuer des recherches comparées sur les réseaux sociaux. (Dans certains cas, il a même été possible de vérifier qu’une adresse était bien liée à un compte de stalkware en créant un nouvel utilisateur sur le site du service, ou en demandant une réinitialisation de mot de passe.) De toute évidence, certains utilisateurs avaient souscrit à la fois à FlexiSpy et à Retina-X.

« Je l’ai acheté parce que je voulais savoir si mon copain me trompait », nous dit une utilisatrice de FlexiSpy par email.

« J’ai utilisé ce service pour confirmer que mon ex-copine me trompait. Ça m’a permis d’obtenir un enregistrement audio d’elle, en plein acte sexuel. C’était de l’argent bien dépensé », affirme un autre.

« C’est normal d’en arriver là », nous assure un troisième.

Ces titulaires de comptes de logiciels espions et leurs victimes ne résident pas uniquement aux États-Unis. Les données Retina-X contenaient des fichiers volumineux indiquant les coordonnées GPS présumées de téléphones infectés à travers le monde. France, Espagne, Israël, Brésil, Colombie, Mozambique, Nigeria, Inde, Vietnam, Indonésie, Australie, et bien d’autres pays étaient concernés. Les logs GPS obtenus par Motherboard s’étendaient de 2014 à fin 2016, mais le pirate ne nous a fourni qu’un petit échantillon des archives dont il disposait.

Une carte de la localisation GPS des victimes présumées des logiciels espions de Retina-X. Motherboard a légèrement déplacé les points concernés afin de protéger la vie privée des individus concernés.

Les données contenaient également la preuve que des instances gouvernementales et des forces de l’ordre ont utilisé Flexispy pour leur propre compte. Si Flexispy a effectivement des liens avec le marché des logiciels malveillants destinés aux forces de l’ordre, on ne sait pas si le malware a été utilisé dans le cadre d’un usage officiel ou personnel par des agents individuels.

Les fichiers Retina-X comprenaient également des captures d’écran et des photos prises avec des smartphones infectés : un homme fait une grimace idiote devant son appareil, une jeune fille prend la pose devant un miroir, et autres clichés somme toute assez banals. Il apparait que la plupart des individus apparaissant sur les photos sont des enfants, ce qui montre que les malwares sont fréquemment utilisés par des parents désireux de surveiller leur progéniture. Le logiciel peut également être utilisé pour garder un œil sur les employés d’une société proposant des téléphones de fonction, avec ou sans leur consentement. Les deux entreprises précisent d’ailleurs sur leur site web que le seul usage légal possible de leurs services est la surveillance consentie dans le cadre professionnel.

Résumé des types de données volées à FlexiSpy et Retina-X par les deux pirates.

Cependant, la grande majorité des comptes Retina-X et Flexispy semble liée à des comptes de messagerie personnels, et pas à des noms de domaine d’entreprises, institutions ou organismes gouvernementaux. De plus, la stratégie marketing de Flexispy est explicitement destinée aux partenaires jaloux qui veulent espionner leur conjoint.



« L’infidélité affecte de nombreux couples », lit-on sur le site de Flexispy. « Tout le monde utilise un smartphone. Celui de votre conjoint peut vous révéler ce qu’il ne vous dira pas. » Au cours des deux dernières décennies, des logiciels espions de consommation courante ont été utilisés dans le cadre de violences domestiques. Lors d’un entretien récent avec Motherboard, une société a admis que son logiciel pouvait être utilisé pour surveiller un conjoint sans sa permission. Une enquête de la radio publique américaine (NPR) de 2014 a révélé que 75% des foyers américains recueillant des victimes de violences domestiques avaient rencontré des cas d’espionnage de victimes via une application tierce.

Elle Armageddon, militante et experte en sécurité opérationnelle, a déclaré que même s’il était difficile de déterminer combien de femmes victimes d’une relation abusive avaient hébergé un logiciel espion sur leur téléphone à leur insu, l’utilisation de ce spyware pouvait les empêcher de fuir leur bourreau – dans la mesure où celui-ci aurait été le premier averti de leur intention de partir.

« Les mouchards permettent de faire de l’argent aux dépens d’une personne en détresse, » explique Armageddon à Motherboard par email. « Un spyware est un spyware, et il constitue une violation de la vie privée de la personne ciblée, qu’il s’agisse de dissidents politiques visés par un gouvernement ou d’une femme victime d’un partenaire abusif. »

Jessica* a été victime de violences domestiques. Son ex-mari utilisait un logiciel espion afin de savoir ce qu’elle faisait et où elle était, alors même que le couple était séparé. L’homme a d’abord utilisé un enregistreur de frappe sur le laptop de son ex, puis un malware sur son smartphone.

« Il savait exactement ce que j’écrivais sur mon portable pendant la journée », confie Jessica à Motherboard. « Si jamais je lui disais que j’allais à un endroit tout en me rendant à un autre, il m’envoyait un message disant ‘Je te vois’. C’était une sorte de guerre psychologique, il maintenait une emprise sur moi en me faisant comprendre qu’il savait en permanence ce que je faisais, et où. »

« Si jamais je lui disais que j’allais à un endroit tout en me rendant à un autre, il m’envoyait un message disant ‘Je te vois’. »

Le marché ignoble de l’espionnage de conjoints a motivé nos pirates à cibler Flexispy et Retina-X. Les identifiants des dizaines de milliers de comptes que le duo nous a fournis ne représentent qu’une fraction du marché des logiciels espions destinés à la consommation courante. De nombreuses autres sociétés proposant des services similaires existent, et vendent des logiciels malveillants à bas prix pour un usage privé. L’un des services les plus importants, MSPY, aurait deux millions d’utilisateurs. (Les pirates avaient déjà ciblé MSPY en 2015.)

« Malheureusement, la plupart des victimes de violences conjugales ne se rendent jamais comptent qu’elles sont espionnées via stalkerware, et que tous leurs mouvements sont surveillés par leur partenaire », explique Cindy Southworth, vice-président du Réseau américain contre la violence familiale, à Motherboard.

Aux États-Unis, intercepter les communications d’un tiers est illégal, et la mise sur écoute est un crime sauf en cas de relation parent/enfant, ou dans le cadre d’un dispositif de surveillance consenti employeur/employé. Installer un logiciel espion sur un smartphone sans le consentement de son propriétaire peut conduire à une peine de prison, à moins que cette initiative ne soit prise par des forces de police dans un cadre légal, avec mandat.

Pour expliquer ses motivations, le pirate ayant attaqué Retina-X explique qu’il y a de plus en plus de parents espionnant leurs enfants grâce une application, et que cette pratique le révolte.

« 99% des personnes espionnées ne méritent pas ce qui leur arrive. Personne ne devrait supporter une telle intrusion dans sa vie privée » ajoute-t-il, désirant rester anonyme.

Le pirate critique l’utilisation de malwares pour des raisons éthiques, mais aussi pour des raisons de sécurité : en utilisant un logiciel pour espionner leurs enfants, les parents risquent qu’un tiers obtienne lui aussi l’accès à la vie privée de leur progéniture. Les entreprises qui fournissent ce service disposent de ces données comme elles veulent, et si elles négligent de les conserver avec une sécurité maximale, un tiers pourrait être en mesure de s’en emparer.

« Il est impossible de savoir si vous êtes le seul à lire les SMS de votre gosse, » ajoute le pirate. « J’aimerais que les parents réfléchissent à deux fois avant de violer la vie privée de leur enfant […] Je ferai tout pour exposer ces entreprises et les rendre vulnérables, car j’estime qu’elles vendent des logiciels indésirables et dangereux. »

« Je pense que ce sont des connards inconscients qui n’ont aucune morale et qui profitent de la vulnérabilité affective des gens pour se remplir les poches. »

Le pirate qui se cache derrière la faille Flexispy a utilisé le pseudo Boy Leopard, une référence au film culte Hackers sorti en 1995. Leopard Boy explique que ce que Flexispy permet de faire à autrui « est ignoble, lâche et révoltant. »

« Je pense que ce sont des connards inconscients qui n’ont aucune morale et qui profitent de la vulnérabilité affective des gens pour se remplir les poches », ajoute-t-il. L’objectif de Leopard Boy est d’envoyer un avertissement à l’industrie de la surveillance domestique dans son ensemble.

« Comme le disait ce bon vieux Phineas, le piratage n’est pas une fin en soi. Il faut avoir quelque chose à dire », poursuit-il, en référence au pirate Phineas Fisher. (Phineas est devenu une sorte de héros dans la communauté des hackers après avoir pris le contrôle des serveurs de FinFisher et Hacking team, deux entreprises qui vendent des spywares aux gouvernements.)

Les deux pirates ont affirmé qu’il n’avait pas été très difficile d’exploiter les failles de sécurité informatique des deux entreprises ciblées.

Le hacker qui a attaqué Retina-X explique qu’il méprise tellement cette entreprise qu’il a pris la décision d’effacer toutes les données de ses serveurs en février dernier. Cela explique pourquoi la page de log in de PhoneSheriff indique que le système a souffert d’une « panne matériel » récemment.

Le message d’erreur affiché sur le portail de log in de PhoneSheriff

« Je ne voulais pas que quelqu’un d’autre tombe sur ces fichiers, qui contiennent notamment des photos très personnelles et ont été hébergés sur Rackspace. Si je peux empêcher des parents d’espionner leurs gosses, ça me ferait plaisir aussi », écrit-il.



Leopard Boy explique que lui et un autre hacker ont fait la même chose sur les serveurs de FlexiSpy ce lundi.

« Au revoir, Flexispy », a clamé Leopard Boy en s’entretenant avec nous. « Coucou, Flexidie. » Le duo de hackers a pris le contrôle du compte Twitter de FlexiSpy le 18 avril, et a nargué la société.

« Vous vous… sentez en sécurité ? » disait l’un des tweets. Les hackers ont également piraté le site web de la société mère de FlexiSpy afin que leurs pages redirigent vers le site du groupe militant Privacy International, effaçant les données de plusieurs serveurs au passage.

« Au revoir, Flexispy. »

Motherboard a tenté de contacter le fondateur de FlexiSpy, Atir Raihan. Par téléphone, nous avons eu affaire à une personne qui s’est d’abord fait passer pour Raihan, avant d’affirmer être quelqu’un d’autre quelques minutes plus tard. Personne n’a répondu aux emails envoyés à l’adresse électronique de Flexispy dédiée aux contacts presse. Les clients présumés de l’entreprise avaient remarqué les récentes perturbations liées à l’appli, et avaient posté des commentaires sur la page Facebook de Flexispy. En réponse, la société a écrit mardi : « Flexispy connaît actuellement un problème technique temporaire, ce qui signifie que vous ne pourrez plus vous connecter sur le portail. Nous espérons résoudre ce problème d’ici 48 heures. »

Retina-X n’a pas souhaité répondre à nos questions.

Ces attaques pirates n’empêcheront pas les citoyens d’espionner leurs enfants ou leurs partenaires. Mais peut-être attireront-elles l’attention sur une pratique scandaleuse qui est désormais banalisée par des technologies puissantes et faciles d’accès. Les logiciels espions font désormais partie du quotidien des consommateurs, et personne ne s’en étonne plus. Même dans une petite ville du sud-ouest des États-Unis.

La femme de John aura continué à espionner les communications téléphoniques de son époux pendant au moins trois mois, selon les données piratées. Les archives de SMS de la victime montrent que ce dernier n’était pas du tout conscient de la surveillance exercée par sa femme. Au SMS d’amour qu’il lui a envoyée début de 2016, sa femme a envoyé une réponse rassurante.

« Je t’aime aussi. »

*Les noms ont été changés pour préserver l’anonymat des personnes concernées.

Si vous pensez qu’un tiers a installé un mouchard sur votre téléphone, voici quelques astuces pour vous en débarrasser.