Le petit ami de Jennifer a déclaré qu’elle n’était pas autorisée à mettre un mot de passe sur son téléphone.

« Il a dit que je n’en avais pas besoin si je lui faisais confiance « , a-t-elle déclaré. Mais cela ne signifiait pas seulement qu’il pouvait passer en revue ses messages si elle laissait l’appareil traîner.

 » Il pouvait voir tout ce que je faisais, peu importe où j’étais. Quand on a rompu, il a commencé à me traquer. Je me sentais tellement violée quand j’ai découvert. »

Jennifer — qui n’est pas son vrai nom — est l’une des nombreuses victimes de harcèlement criminel qui a été aidée par Operation Safe Escape, un groupe de sécurité basé aux États-Unis qui travaille avec les victimes de violence domestique, pour identifier et gérer un puissant logiciel de suivi installé secrètement sur son téléphone. Selon le groupe, cette violation n’est pas inhabituelle.

Les applications utilisées pour le traque et la surveillance secrète, qui sont très légales en matière de confidentialité des données, se cachent sur des milliers de téléphones, bien qu’elles soient interdites par les principaux magasins d’applications.

Des applications telles que mSpy, TheTruthSpy et FlexiSPY permettent aux utilisateurs de surveiller l’activité téléphonique de quelqu’un d’autre, y compris leurs journaux d’appels, le contenu des messages texte et de chat, les données GPS et les photos. Souvent présentées comme des outils de « contrôle parental » ou de « surveillance des employés », de nombreuses applications de stalkerware se présentent également comme un moyen d’attraper des partenaires tricheurs — et notent qu’elles peuvent être installées de manière invisible sur le téléphone d’une cible.

L’installation nécessite généralement un accès physique à l’appareil; les utilisateurs peuvent ensuite masquer l’icône de l’application et afficher le contenu du téléphone à distance, en se connectant à un tableau de bord en ligne qui surveille son activité.

Bien que ces applications soient secrètes sur le nombre d’utilisateurs et les revenus, la société de cybersécurité Kaspersky Labs a déclaré qu’un nombre croissant de personnes étaient attaquées par des stalkerwares.

L’année dernière, Kaspersky a trouvé et supprimé 58 000 instances de stalkerware après que les clients aient utilisé son application antivirus, qui recherche du code malveillant, pour analyser leurs appareils. En juillet 2019, son produit anti-stalkerware spécifique, sorti en avril, avait détecté des applications malveillantes sur les téléphones appartenant à plus de 7 000 clients dans le monde.

Stalkerware » peut être beaucoup plus grave que d’autres types de logiciels malveillants. . . parce qu’il est conçu pour être utilisé comme un outil pour abuser de la vie privée d’une autre personne et est souvent utilisé par des agresseurs domestiques « , a déclaré le chercheur en sécurité Alexey Firsh.

La société anti-logiciels espions Certo a également déclaré que la demande avait « certainement augmenté ces dernières années ».

‘Surveillance illicite’

La disponibilité bon marché des applications de surveillance personnelle peut avoir des effets dévastateurs. En 2014, une enquête menée par la National Public Radio auprès de 72 refuges pour victimes de violence domestique aux États-Unis a révélé que 85% avaient aidé des victimes dont les agresseurs les avaient suivies à l’aide d’un GPS. La même année, le Réseau national pour mettre fin à la violence domestique a constaté que 54% des agresseurs avaient suivi les téléphones portables de leurs victimes à l’aide de stalkerware.

L’année dernière, au milieu de préoccupations croissantes, le sénateur américain Richard Blumenthal a demandé des informations à neuf fabricants d’applications proposant des logiciels de suivi, dont mSpy et FlexiSPY, sur la manière dont ils s’assuraient que leurs produits n’étaient pas utilisés à des « fins illégales », telles que le harcèlement criminel ou la « surveillance illicite ».

Les logiciels espions sont interdits par la plupart des principaux magasins d’applications, y compris ceux d’Apple et de Google. En avril, Apple a supprimé plusieurs applications de contrôle parental au motif qu’elles étaient excessivement invasives, et Google a supprimé quatre applications de stalkerware de son magasin cette semaine après que des chercheurs de la société antivirus Avast les aient identifiées.

Cependant, des applications telles que mSpy peuvent être téléchargées directement sur les téléphones Android via leurs pages Internet. Cela ne peut pas être fait sur les iPhones à moins qu’ils ne soient « jailbreakés », un processus qui supprime certains paramètres de sécurité installés par Apple. De nombreuses applications de logiciels espions annoncent des téléchargements pour des iPhones jailbreakés.

Certaines applications proposent également une solution de contournement pour iPhone, qui nécessite que l’utilisateur accède aux informations de connexion iCloud de la cible. Ils peuvent ensuite surveiller à distance toutes les informations sauvegardées sur le compte iCloud, mais ne peuvent pas écouter les appels ou écouter les environs d’un téléphone.

Cette solution de contournement n’oblige pas l’utilisateur à accéder physiquement au téléphone, sauf si l’authentification à deux facteurs – qui demande aux propriétaires de comptes iCloud d’approuver les connexions sur les nouveaux appareils — est en place.

Tout en expliquant cette restriction, un représentant de l’application de surveillance Mobistealth a fourni un lien vers une page Web expliquant comment désactiver l’authentification à deux facteurs.

Étant donné qu’Apple n’est pas en mesure de déterminer si quelqu’un avec les informations d’identification iCloud correctes est le propriétaire du compte ou un acteur malveillant, il ne peut pas faire grand-chose.

Un porte-parole de mSpy a déclaré que sa technologie n’était pas un logiciel espion, mais un « logiciel de contrôle parental » développé uniquement à cette fin. Les parents peuvent masquer l’icône de l’application pour empêcher les enfants de la désinstaller, ont-ils ajouté. Bien que son application puisse être « mal utilisée », mSpy a déclaré qu’il ne pouvait pas dire si cela se produisait puisque les données des utilisateurs sont cryptées.

« Contrairement à tout ce qui s’est passé dans l’histoire récente »

En juin, des chercheurs de l’Université de Toronto ont conclu dans une étude sur les applications de stalkerware que certains produits étaient « ouvertement conçus spécifiquement pour contourner la confidentialité et le contrôle ». Ils ont également suggéré que les applications violaient les nouvelles règles de confidentialité de l’UE, dans le Règlement général sur la Protection des Données.

Le logiciel « ne répondrait à aucune des conditions du RGPD » relatives à la collecte et à l’utilisation des données personnelles, ont déclaré les chercheurs. Étant donné que les victimes de traque et de surveillance peuvent ne pas savoir qu’une application est installée sur leur téléphone, elles ne sont pas en mesure de faire des choix quant à la collecte et au traitement de leurs informations sensibles — un élément clé du RGPD — ont-elles déclaré.

FlexiSPY, qui a été nommé dans le rapport, annonce des services tels que « l’espionnage » des textes, « même des messages supprimés », et affirme que son logiciel « indétectable » peut aider à attraper les conjoints « tricheurs ». Highster Mobile et Mobistealth commercialisent également leurs produits comme des outils pour attraper des partenaires infidèles, tandis que Hoverwatch souligne que sa fonction « mode furtif » est utile lorsque « vous devez prendre la situation en main ».

TheTruthSpy parle même de son logiciel comme d’une alternative au « piratage » d’un « téléphone portable de la victime ».

Toutes les applications ont refusé de commenter. Mais leurs conditions d’utilisation — dont certaines disent explicitement qu’elles sont conformes au RGPD — stipulent généralement que les utilisateurs doivent obtenir le consentement du propriétaire du téléphone cible avant d’installer le logiciel.

« Vous êtes seul responsable de la façon dont vous utilisez le logiciel, & pour vous conformer à toutes les lois pertinentes « , stipulent les conditions de Flexispy. « Si vous installez ou tentez d’installer notre logiciel sur un téléphone que vous ne possédez pas ou que vous n’avez pas le consentement approprié, nous coopérerons avec les responsables de la loi dans toute la mesure du possible », explique Highster Mobile.

Cela « dégage leur responsabilité », a déclaré Cynthia Khoo, chercheuse au Citizen Lab et l’une des auteures du rapport. « Nous n’avons pas vu de preuve que ces entreprises prennent des mesures proactives pour prévenir les abus ou la violence », a-t-elle déclaré.

En cas de violation de données, les applications stalkerware seraient obligées d’en informer leurs clients. Mais ces personnes ne seraient pas nécessairement celles dont les données étaient à risque. Il s’agit d’un « échec grave », a déclaré Christopher Parsons, l’auteur principal du rapport.

Plusieurs autres applications de surveillance, dont Family Orbit et Retina-X, ont été la cible de « pirates éthiques », qui se sont introduits dans leurs systèmes et ont obtenu des données sensibles pour démontrer des faiblesses en matière de sécurité.

Prétendre être conforme au RGPD sur la base du consentement, tout en transmettant la responsabilité d’obtenir ce consentement et en annonçant explicitement les systèmes de surveillance des conversions, semblent être « complètement inverses » et « positions contraires », a déclaré Paula Barrett, associée et co-responsable de la cybersécurité et de la confidentialité des données au cabinet d’avocats Eversheds Sutherland.

Le Conseil européen de la Protection des données a déclaré qu’aucun cas impliquant du stalkerware n’avait été porté à son niveau, bien qu’il ne puisse pas dire si des cas avaient été introduits par les autorités nationales.

Le Commissaire à la protection de la vie privée du Canada, qui a contribué au financement du rapport de Toronto, a déclaré qu’il examinait les conclusions. Certaines des recommandations faisaient écho aux « préoccupations et recommandations que nous soulevons depuis un certain temps », a déclaré un porte-parole.

Lorsqu’on lui a demandé pourquoi mSpy n’était pas disponible sur le Play Store de Google, un représentant du service client a déclaré que le magasin « n’aime pas ce que nous faisons ici ». Lorsqu’on leur a demandé pourquoi, ils ont dit que cela « n’avait pas d’importance » et ont envoyé un lien vers une vidéo montrant comment télécharger le logiciel sur les téléphones Android.

Ces applications représentent « la démocratisation de la surveillance contrairement à tout ce à quoi je peux penser dans l’histoire récente », a déclaré le Dr Parsons. « C’est incroyablement intime et envahissant. »