mSpy, stalkerware le plus en vue parmi les solutions francophones de surveillance domestique, a appris à cibler sa clientèle : les hommes qui veulent contrôler des femmes. Voici le compte rendu de notre enquête.
Sur son site, mSpy s’affiche comme « le meilleur traqueur de téléphone pour le contrôle parental » et revendique plus d’un million d’utilisateurs à travers le monde. Le principe : installer un mouchard sur le téléphone de votre enfant pour pouvoir consulter les données produites par leur smartphone.
Du contrôle parental… à la surveillance d’une personne
La loi autorise ce type de contrôle, à condition d’avoir le consentement des détenteurs de l’autorité parentale, sans forcément obtenir celui de l’enfant. Mais derrière cette image « légitime », mSpy vise une clientèle moins avouable : les hommes en quête de contrôle sur leur conjointe. L’entreprise multiplie astuces et subterfuges pour apparaître comme la référence en matière de stalkerware.
L’utilisation d’un logiciel espion sans le consentement de la personne visée entre dans le champ de plusieurs délits. L’article 226-15 du Code pénal, qui condamne l’interception des correspondances, ou l’article 226-1 du même code, qui sanctionne la géolocalisation d’une personne en temps réel ou différé. Ces deux articles connaissent même une circonstance aggravante depuis la loi du 20 juillet 2020, si cette surveillance émane d’un partenaire ou ex-partenaire.
D’autres délits pourraient être retenus, comme l’accès ou le maintien frauduleux dans un système de traitement automatisé de données. Ces textes empêchent les entreprises comme mSpy de s’afficher comme l’outil idéal pour espionner sa femme à son insu.
Même si les termes de « conjointe », « femme » ou « copine » n’apparaissent pas sur leur site français, mSpy aime entretenir l’ambiguïté. La première image nous plonge dans le rôle du surveillant. Un écran de téléphone affiche le profil d’une jeune femme – qui semble un peu trop âgée pour être considérée comme une enfant – géolocalisée précisément sur une carte.
Un message s’affiche à côté de sa photo, elle y remercie son destinataire d’avoir passé « une nuit incroyable ». Il faut éplucher minutieusement le site pour trouver le premier faux pas de la marque. Un espace met en valeur les commentaires des clients satisfaits. L’un d’eux affiche son enthousiasme d’avoir trouvé l’application parfaite pour « contrôler l’appareil de [son] épouse ».
« Il est tout à fait normal de connaître des doutes sur la fidélité »
Nous avons notifié cette maladresse à mSpy. Leur service presse a répondu à notre demande avec une rapidité qui force le respect (spoiler alert : ce ne sera pas le cas sur d’autres questions), en quelques heures à peine.
« Nous prévenons avec insistance que notre application est prévue pour du contrôle parental et que toute autre utilisation non autorisée sera punie. Quoiqu’il arrive, si nous détectons une activité suspecte de la part d’un utilisateur, nous bannissons leur compte jusqu’à confirmation qu’ils n’ont pas fait quelque chose d’illégal.
Malheureusement, ces utilisateurs peuvent être difficiles à identifier, mais nous essayons toujours d’être réactifs. Nous coopérons également avec les forces de l’ordre de tous les pays et nous répondons à leur réquisitions pour obtenir des informations d’utilisateurs suspectés d’utiliser le logiciel avec de mauvaises intentions ».
Le commentaire visé a rapidement été supprimé.
D’autres contradictions s’invitent. mSpy se soucie de rappeler à ses utilisateurs le nécessaire consentement des personnes ciblées par leur outil, en bas de la page d’accueil de leur site, en caractères minuscules grisés sur fond blanc… « avec insistance » donc.
L’avertissement sonne faux quand dans le chat commercial du site un vendeur nous précise : « Soyez informé que l’icône de mSpy n’est pas visible sur un téléphone cible. Il ne peut pas être repéré par l’utilisateur cible. La synchronisation des données se passe en arrière-plan inaperçu pour l’utilisateur. La seule personne qui peut accéder aux journaux du téléphone cible c’est vous à partir de votre panneau de configuration mSpy ».
Il sonne d’autant plus faux après une recherche Google sur le site en .fr de mSpy avec comme seul mot clé « conjoint ». Sur plusieurs de nos machines – y compris en navigation privée – le premier résultat renvoie vers cette page. Il faut descendre en bas et cliquer sur « Montre plus » pour découvrir tout un passage expliquant « à qui est destiné cette application pour contrôler un téléphone à distance ».
Bien évidemment « surveiller vos enfants » y est décrit, mais ce n’est pas tout :
« La seconde raison qui pourrait vous pousser à utiliser un logiciel de surveillance serait pour surveiller un proche autre, tel que votre conjoint. Il est tout à fait normal de connaître des doutes sur la fidélité d’une personne dans un couple. Cela, surtout dans les couples où des problèmes de fidélité se sont déjà posés. Vous vous demandez ce que fait réellement votre compagne lorsqu’elle dit aller faire les courses ? Vous avez des doutes sur l’endroit où se rend votre conjoint lorsqu’il est en déplacement ? Vous pourrez contrôler un téléphone à distance avec mSpy, et ainsi vous assurer que vous n’êtes victime de tromperie de la part de votre conjoint. Cela peut vous permettre de vous rassurer, ou vous aider à mettre fin à votre histoire si vous aviez déjà des soupçons existants. »
mSpy est ainsi référencé dans le moteur de recherche avec les termes utilisés dans ce paragraphe. Mais cette page nous réserve quelques surprises. En effet, si on enlève les arguments après le « ? » dans l’URL – c’est-à-dire si on veut accéder à cette adresse https://www.mspy.fr/logiciel-espion-de-telephone-portable.html – on revient à la page d’accueil. Il faut ajouter un « ?AvecCeQuonVeutDerriere » pour y accéder. Retour donc vers le service presse de mSpy afin d’avoir des explications, qui n’a pas répondu pour le moment.
Installation simple et rapide sur Android, jailbreak nécessaire sur iOS
Il suffit d’installer leur logiciel – nous l’avons testé sur un système Android – pour repérer d’autres ambiguïtés. Il faut nécessairement un accès physique au téléphone cible et avoir son code de déverrouillage. La disparition inexpliquée d’un téléphone et sa réapparition tout aussi inexpliquée fait partie du faisceau d’indices d’une éventuelle installation de stalkerware. Installer le logiciel peut prendre 5 à 10 minutes.
Pour l’installer sur un iPhone, il faut un téléphone jailbreaké, ce qui rend l’opération plus compliquée, mais pas non plus insurmontable. Un partenaire malintentionné peut aisément se procurer un iPhone jailbreaké, y installer un stalkerware puis ensuite « l’offrir » à la personne qu’il veut surveiller.
Sur Android, cette barrière technique n’existe pas. Nous suivons les étapes d’installation depuis un ordinateur, nous devons envoyer un lien au téléphone cible en notre possession pour télécharger le fichier d’installation « bt.apk », sans passer par un magasin d’application. Cette opération nécessite simplement d’autoriser l’installation d’applis inconnues dans les paramètres ; autorisation que l’on peut ensuite désactiver.
Il faut compter près d’une cinquantaine d’euros pour surveiller un téléphone pendant un mois. L’installation ne laisse pas trop de doutes sur le respect du consentement des cibles. L’une des étapes proposées, non-optionnelle, est d’« effacer les traces ».
Le guide invite l’utilisateur à supprimer les données de navigation, mais aussi le fichier « bt.apk » dans le répertoire téléchargements du téléphone avant de passer à l’étape suivante. Après cela, il sera difficile de repérer le stalkerware et donc de le désinstaller. Il faut aller dans les paramètres et inspecter l’ensemble des applications pour en apercevoir une dont le nom est « update service ».
Un tableau de bord de la surveillance
Une fois le logiciel installé, nous pouvons depuis un ordinateur avoir accès à un tableau de bord avec de nombreuses informations : une carte avec la géolocalisation du téléphone plutôt précise une fois l’appareil connecté à un réseau Wi-Fi. mSpy a bien repéré la rue et l’emplacement du téléphone, le taux de charge de la batterie, les sites Internet les plus visités et à quelle fréquence, un keylogger qui reporte les textes tapés dans les messages, même s’ils n’ont pas été envoyés, l’historique d’appel avec le numéro, la date et la durée de l’appel, tout le répertoire de contacts, les photos et les vidéos…
Et le tout, sans qu’aucune icône ne vienne avertir le propriétaire du téléphone. Les informations sont mises à jour régulièrement, toutes les 5 minutes. Cet envoi régulier de données peut parfois aider les victimes à repérer ce genre de surveillance.
Une batterie anormalement vite déchargée ou un forfait Internet rapidement dépassé sont autant d’indices de la présence d’un logiciel espion installé.
Référencement et « partenariat » comme nerf de la guerre
Il faut sortir du site mSpy et observer son référencement Google pour constater d’autres anomalies. Taper quelques mots clés comme « surveiller femme/copine/partenaire » ou « Lire les SMS de ma copine/femme » dans la recherche Google nous amène à deux constats.
D'une part, mSpy apparaît très souvent en première position dans le référencement commercial de Google, c’est-à-dire dans les annonces positionnées en dessous de la barre de recherche. Nous utilisons l’outil de veille concurrentielle Spyfu, qui permet de voir quels mots clés peuvent être exploités par les sites Internet et leurs concurrents pour être référencés dans les encarts publicitaires de Google.
Le domaine mspy.org semble bien avoir payé Google pour être référencé sur les groupes de mots « espionner son conjoint gratuitement ». Contacté par Next INpact, Google a confirmé cette information et affirme : « Nous n'autorisons pas les publicités faisant la promotion de logiciels espions pour la surveillance des partenaires. Nous avons immédiatement supprimé les publicités qui enfreignent cette règle et continuerons à suivre les nouvelles pratiques d’acteurs malveillants afin de les empêcher d'échapper à nos systèmes de détection. » Après vérification, Google a bien supprimé ces annonces.
D'autre part, une myriade de sites/blogs présente mSpy comme le site de référence pour surveiller une partenaire sans son consentement. Nous repérons dix sites avec des articles très semblables : « Comment savoir si ma femme me trompe et espionner son téléphone discrètement ? », « Comment espionner et piéger sa femme (ou son mari) infidèle ? », « Voici comment surveiller sa femme sans qu’elle le sache », « Les 5 meilleures applications gratuites pour espionner son conjoint »… Nous retrouvons le numéro de téléphone du propriétaire d’un de ces sites via l’outil Whois.
Après quelques échanges, il affirme bien avoir été démarché par mSpy. L’article, publié en octobre 2021 et en partie rédigé par l’entreprise, propose plusieurs méthodes pour « surveiller sa femme sans qu’elle le sache ». « Les entreprises qui me démarchent peuvent choisirent leur texte d’ancrage – les mots utilisés pour un lien utile à Google pour référencer les sites. Je facture entre 50 et 200 euros », témoigne-t-il.
« Il n’y a que comme ça que ça marche »
Le propriétaire du site se moque légèrement de nos questions, trop ingénues visiblement : « Il n’y a que comme ça que ça marche pour ceux qui ne peuvent pas faire de publicité légalement. Il faut acheter des liens et des emplacements sur des sites comme le mien ».
Nous contactons un autre éditeur, dont nous retrouvons facilement l’identité sur ledit site. L’article fait le classement des six meilleures applications pour espionner son conjoint. « C’est un article qui a plutôt bien marché », commente-t-il sans vouloir dévoiler les chiffres du trafic sur son site.
Selon les estimations d’outils comme Semrush ou SimilarWeb, les visites du site pourraient grimper à plus de 300 000 visites par mois. L’éditeur facture 450 euros hors taxe pour un article de « partenaire invité », c’est-à-dire entièrement rédigé par le client. Lui n’a plus qu’à encaisser et publier.
Suite à notre enquête, Google démonétise des pages
Nous contactons de nouveau mSpy à propos de cette publicité un peu trop explicite. Aucune réponse cette fois encore. Sur l’illégalité de ces contenus sur Internet, la plateforme Pharos, qui prévoit de signaler les contenus sur Internet pouvant inciter à commettre des infractions, nous répondra sommairement. La plateforme estime ne pas avoir suffisamment d’éléments à fournir à ce sujet et n’aurait pas reçu encore de signalements à propos de ce genre de contenus.
En revanche Google répondra à nos sollicitations : si ces pages ne font pas l’objet d’un déréférencement, elles ne doivent pas accueillir de publicités du moteur de recherche. Toutes les pages concernées dotées d’espaces publicitaires alloués par Google ont fait l’objet d’une démonétisation.
Partie visible de l’iceberg
L’ampleur du phénomène stalkerware au sein du couple reste peu connu, notamment du fait de la discrétion de ces dispositifs. Lors d’une enquête menée en 2018 sur les logiciels espions, le Centre Hubertine Auclert – centre francilien pour l’égalité femmes-hommes – en avait dénombré 14 bien référencés sur le marché francophone.
Echap, une association spécialisée dans la lutte contre les cyberviolences sexistes et sexuelles, en a repéré plus d’une centaine de son côté. Mais ce type de surveillance est loin d’être la seule. « Le partage de mot de passe au sein du couple est un phénomène bien plus massif, qui ne demande pas d’argent, mais nous en parlons moins », estime l’un des membres de l’association.
Ces pratiques bénéficient effectivement d’une forte acceptabilité sociale et questionnent. En novembre 2021, le collectif Féministes contre le cyberharcèlement avait mené une étude avec Ipsos en France. Un Français répondant sur cinq déclarait avoir déjà surveillé, fouillé le téléphone de son ou sa partenaire sans son autorisation.
Dans l’étude, parmi un chapelet de comportements cyberviolents, comme le harcèlement ou l’envoi de photos de parties génitales sans consentement, les faits de surveillance représentaient la catégorie la moins identifiée comme problématique.
