Spyware

01 — DéfinitionQu'est-ce qu'un spyware ?

Un spyware (logiciel espion) est un type de malware qui collecte secrètement des informations sur un utilisateur et les transmet à un tiers sans consentement explicite. Le caractère secret et non consenti est déterminant : un monitoring installé avec information et consentement clair n'est pas un spyware au sens malveillant.

Données typiquement collectées

• Frappes clavier : mots de passe, messages, numéros de carte.
• Credentials stockés : navigateurs, apps.
• Cookies de session : permettent de détourner des comptes authentifiés sans mot de passe.
• Historique navigation, messages, emails.
• Captures d'écran, webcam, microphone.
• Localisation GPS sur mobile.
• Fichiers : documents, photos, crypto-wallets.

Motivations

• Fraude financière : identifiants bancaires, comptes détournés.
• Revente de données sur le dark web.
• Espionnage industriel : secrets commerciaux.
• Espionnage étatique : dissidents, journalistes.
• Stalking et contrôle coercitif : violences conjugales.
• Extorsion / sextortion.
• Accès initial pour attaques plus larges.

Le spyware est aussi ancien que l'informatique en réseau. Ce qui change à l'ère mobile et IA : la quantité et la qualité des données capturées. Un spyware sur smartphone compromet une vie entière, pas juste une machine.

02 — TypesLes grandes familles

Keylogger

Enregistre toutes les frappes clavier. Capture mots de passe, messages, numéros de carte. Logiciel ou matériel (plus rare). Souvent composante de spywares plus larges.

Infostealer

Vol rapide de données stockées : mots de passe navigateurs, cookies, portefeuilles crypto, tokens Discord. Catégorie en explosion depuis 2022 : RedLine Stealer, Vidar, Raccoon, Lumma, StealC, Atomic macOS Stealer. Les logs de machines entières sont vendus sur le dark web pour quelques dollars à quelques centaines selon le profil de la victime.

Stalkerware

Spyware conçu pour surveiller un proche. Positionné comme « contrôle parental » mais largement utilisé pour violences conjugales. Noms connus : mSpy, FlexiSPY, Cocospy, Spyic, Hoverwatch, SpyFone (sanctionné FTC 2019). Installation nécessite accès physique à l'appareil, quelques minutes suffisent.

Adware intrusif

Collecte des données comportementales et affiche des publicités intrusives. Zone grise entre légal et malveillant. Exemples historiques : Superfish (préinstallé Lenovo 2014-2015, interceptait HTTPS), DollarRevenue, Gator, CoolWebSearch.

RAT avec fonctions spyware

Remote Access Trojan donnant accès complet incluant espionnage : NjRAT, DarkComet, Remcos, AgentTesla, AsyncRAT, NetWire (démantelé 2023).

Spyware mobile

• Android : Joker (abonnements premium + SMS), Cerberus, Anubis, FluBot (démantelé 2022), GoldPickaxe (2024, reconnaissance faciale pour fraude bancaire).
• iOS : principalement spywares étatiques (Pegasus, Predator) via exploits zero-click très sophistiqués. Rarissimes pour grand public.

Spyware étatique / mercenaire

Voir section dédiée. Acteurs principaux : NSO Group (Pegasus), Cytrox/Intellexa (Predator), DSIRF (Subzero), Gamma Group (FinFisher/FinSpy), QuaDream (Reign, fermé 2023), Candiru (DevilsTongue).

03 — PegasusSpywares étatiques

Pegasus — NSO Group

Société israélienne fondée en 2010. Vendu exclusivement à des gouvernements et agences officielles. Capacités techniques : infection zero-click (aucune action requise), exploits zero-day iOS et Android, contrôle total de l'appareil incluant messageries chiffrées vues avant chiffrement, persistance, auto-destruction si détection approche.

Pegasus Project (juillet 2021)

Consortium de 17 médias coordonné par Forbidden Stories et Amnesty International. Analyse d'une liste fuitée de 50 000 numéros cibles. Victimes : journalistes (Jamal Khashoggi avant son assassinat), militants, avocats, diplomates, chefs d'État. Emmanuel Macron cible d'une tentative confirmée. Pays clients controversés : Arabie Saoudite, Émirats, Mexique, Maroc, Azerbaïdjan, Hongrie.

Conséquences

• NSO blacklisté par US Commerce Department (novembre 2021).
• Poursuites Apple et WhatsApp en cours.
• Apple Lockdown Mode introduit iOS 16 (2022).
• Commissions d'enquête européennes.

Autres spywares étatiques

• Predator (Cytrox/Intellexa) : concurrent direct, sanctions US 2024.
• Reign (QuaDream) : société fermée 2023.
• DevilsTongue (Candiru) : cible Windows et navigateurs.
• Triangulation : campagne iOS découverte par Kaspersky 2023.
• FinSpy/FinFisher (Gamma Group).

Défense pour profils à risque

Journalistes, activistes, opposants politiques :

• Apple Lockdown Mode sur iOS 16+.
• Redémarrages fréquents : force réinfection.
• Mobile Verification Toolkit (MVT) d'Amnesty Tech.
• iVerify (app iOS commerciale).
• Séparation des appareils entre activités sensibles et quotidien.
• Signal avec messages éphémères.
• Accompagnement : Access Now Digital Security Helpline, EFF, Citizen Lab.

04 — DétectionSignes et outils

Signaux d'alerte

• Ralentissement inhabituel.
• Batterie qui se décharge vite (surtout mobile).
• Consommation data anormale.
• Appareil qui chauffe au repos.
• Publicités intrusives nouvelles.
• Navigateur modifié : page d'accueil, extensions.
• Apps inconnues installées.
• Webcam qui s'allume sans raison.
• Connexions suspectes sur vos comptes.

Sur Windows / macOS

• Microsoft Defender + Malwarebytes (gratuit, excellent sur spyware).
• Processus inconnus : Gestionnaire des tâches.
• Programmes au démarrage.
• Extensions navigateur : désinstaller inconnues.
• TCPView, GlassWire : connexions réseau anormales.

Sur Android

• Google Play Protect : scan intégré.
• Apps antivirus : Malwarebytes, Bitdefender Mobile.
• Accessibility Services : vecteur critique abusé par de nombreux spywares. Paramètres → Accessibilité. Désactiver tout non nécessaire.
• Device admins : Paramètres → Sécurité. Désactiver inconnus.
• Autorisations : micro, caméra, SMS, localisation par app.
• Mode sans échec : pour désinstaller plus facilement.

Sur iOS

• Apps installées : Réglages → Général → Espace iPhone.
• Profils de configuration : Réglages → VPN et gestion. Supprimer tout suspect.
• iVerify : vérification commerciale.
• Mobile Verification Toolkit (MVT) d'Amnesty pour indicateurs Pegasus.
• Mises à jour iOS rapides.
• Cas extrême : réinitialisation usine + restauration backup propre.

05 — ProtectionSe défendre

06 — StalkerwareViolences conjugales et harcèlement

Le stalkerware est utilisé dans les cas de violences conjugales, harcèlement et contrôle coercitif. Il permet à un conjoint abusif ou harceleur de surveiller tous les mouvements, communications et activités de sa victime.

Signaux spécifiques

• Le conjoint sait des choses qu'il ne devrait pas savoir (conversations, déplacements, messages privés).
• Apps sans icône visible ou icône trompeuse type « System Service », « Battery Doctor ».
• Batterie anormalement faible.
• Appareil qui reste allumé ou avec activité la nuit.
• Permissions d'administration accordées à des apps inconnues.

Attention — ne pas désinstaller seul

Dans un contexte de violences, désinstaller le stalkerware peut mettre en danger. L'abuseur remarquera que la surveillance a cessé et peut escalader la violence. La priorité est la sécurité physique et un plan coordonné.

Ressources et accompagnement

• 3919 : numéro national violences femmes (France), gratuit, anonyme.
• Centre-Hubertine-Auclert : guide « cyberviolences conjugales ».
• Association En Avant Toute(s) : chat pour jeunes.
• Coalition Against Stalkerware : ressources internationales.
• Arrêtons les violences (stop-violences-femmes.gouv.fr).
• Access Now Digital Security Helpline : aide technique confidentielle.

Démarches recommandées

• Contacter une association avant toute action technique.
• Plan de sécurité : lieu où se réfugier, contacts de confiance, documents sauvegardés.
• Nouvel appareil : souvent préférable à nettoyer l'existant.
• Comptes créés depuis appareil sain : email, banque, réseaux sociaux, tous changés.
• Signalement : plainte police/gendarmerie, stalkerware = violence sanctionnée.
• Preuves conservées : captures, logs, pour procédures judiciaires.

Cadre légal français

Le stalkerware est illégal en France quand installé sans consentement :

• Article 226-1 du Code pénal : atteinte à la vie privée, jusqu'à 1 an de prison et 45 000 € d'amende.
• Article 323-1 : accès frauduleux à un système informatique, 3 ans et 100 000 €.
• Circonstance aggravante si commis par un conjoint ou ex-conjoint.
• Loi sur les violences conjugales 2019 : cyberviolences reconnues comme violences conjugales à part entière.

07 — FAQQuestions fréquentes

Un antivirus détecte-t-il les spywares ?

Les spywares classiques — oui, largement. Microsoft Defender, Bitdefender, ESET détectent la plupart des spywares connus. Malwarebytes est particulièrement efficace sur spyware et adware. Limites : les spywares étatiques sophistiqués (Pegasus, Predator) échappent aux antivirus grand public. Les stalkerwares commerciaux sont parfois classés comme « apps de monitoring parental » et non détectés par défaut — la Coalition Against Stalkerware travaille avec les éditeurs antivirus pour améliorer la détection.

Peut-on être espionné par sa webcam sans s'en rendre compte ?

Possible mais moins facile qu'il y a quelques années. Les OS modernes affichent une LED témoin matérielle quand la webcam est active (difficile à contourner). Les malwares sophistiqués peuvent activer la webcam sans LED sur d'anciens modèles ou via exploits particuliers. Protection simple et efficace : cache webcam physique (Post-it, cache coulissant). Pour le micro, plus difficile car pas de LED sur la plupart des ordinateurs — certains MacBook modernes coupent le micro matériellement quand le capot est fermé.

Mon téléphone m'écoute-t-il pour les publicités ?

Non, probablement pas au sens du mythe courant. Les études académiques (Northeastern University 2018, KU Leuven 2019) n'ont pas trouvé de preuve d'écoute audio active par les apps majoritaires. L'impression de « mon téléphone m'a entendu » s'explique par : le profilage publicitaire extrêmement précis (historique web, localisation, contacts, recherches des proches), le biais de confirmation (on remarque les pubs qui correspondent, pas les autres). Des spywares réels peuvent activer le micro — c'est une fonction de nombreux malwares — mais pas les apps publicitaires légitimes. Le profilage sans écoute est déjà massivement intrusif.

Un VPN protège-t-il contre les spywares ?

Très peu. Un VPN chiffre le trafic réseau, ce qui ne change rien au fait qu'un spyware installé sur l'appareil voit tout ce que vous faites avant le chiffrement. Keylogger, capture écran, lecture de fichiers ne sont pas empêchés par un VPN. La protection contre les spywares est : antivirus, vigilance téléchargements, permissions, système à jour. Le VPN reste utile pour d'autres raisons (Wi-Fi publics, vie privée face au FAI) mais pas contre le spyware.

Les spywares peuvent-ils accéder à Signal ou WhatsApp ?

Oui, malheureusement. Le chiffrement bout-en-bout protège les messages en transit entre appareils, mais pas sur l'appareil lui-même. Un spyware installé voit les messages à l'affichage (après déchiffrement pour l'utilisateur) via captures d'écran, keylogger sur frappe, ou accès direct à la base locale. C'est ainsi que Pegasus accède à Signal et WhatsApp : pas en cassant le chiffrement mais en compromettant l'appareil. Protection : empêcher l'installation du spyware d'abord (hygiène, mises à jour, permissions limitées). Sur iOS, Lockdown Mode aide contre les exploits zero-click sophistiqués.