mSpy, stalkerware le plus en vue parmi les solutions francophones de surveillance domestique, a appris à cibler sa clientèle : les hommes qui veulent contrôler des femmes. Voici le compte rendu de notre enquête.
Sur son site, mSpy s’affiche comme « le meilleur traqueur de téléphone pour le contrôle parental » et revendique plus d’un million d’utilisateurs à travers le monde. Le principe : installer un mouchard sur le téléphone de votre enfant pour pouvoir consulter les données produites par leur smartphone.
Du contrôle parental… à la surveillance d’une personne
La loi autorise ce type de contrôle, à condition d’avoir le consentement des détenteurs de l’autorité parentale, sans forcément obtenir celui de l’enfant. Mais derrière cette image « légitime », mSpy vise une clientèle moins avouable : les hommes en quête de contrôle sur leur conjointe. L’entreprise multiplie astuces et subterfuges pour apparaître comme la référence en matière de stalkerware.
L’utilisation d’un logiciel espion sans le consentement de la personne visée entre dans le champ de plusieurs délits. L’article 226-15 du Code pénal, qui condamne l’interception des correspondances, ou l’article 226-1 du même code, qui sanctionne la géolocalisation d’une personne en temps réel ou différé. Ces deux articles connaissent même une circonstance aggravante depuis la loi du 20 juillet 2020, si cette surveillance émane d’un partenaire ou ex-partenaire.
D’autres délits pourraient être retenus, comme l’accès ou le maintien frauduleux dans un système de traitement automatisé de données. Ces textes empêchent les entreprises comme mSpy de s’afficher comme l’outil idéal pour espionner sa femme à son insu.
Même si les termes de « conjointe », « femme » ou « copine » n’apparaissent pas sur leur site français, mSpy aime entretenir l’ambiguïté. La première image nous plonge dans le rôle du surveillant. Un écran de téléphone affiche le profil d’une jeune femme – qui semble un peu trop âgée pour être considérée comme une enfant – géolocalisée précisément sur une carte.
Un message s’affiche à côté de sa photo, elle y remercie son destinataire d’avoir passé « une nuit incroyable ». Il faut éplucher minutieusement le site pour trouver le premier faux pas de la marque. Un espace met en valeur les commentaires des clients satisfaits. L’un d’eux affiche son enthousiasme d’avoir trouvé l’application parfaite pour « contrôler l’appareil de [son] épouse ».
« Il est tout à fait normal de connaître des doutes sur la fidélité »
Nous avons notifié cette maladresse à mSpy. Leur service presse a répondu à notre demande avec une rapidité qui force le respect (spoiler alert : ce ne sera pas le cas sur d’autres questions), en quelques heures à peine.
« Nous prévenons avec insistance que notre application est prévue pour du contrôle parental et que toute autre utilisation non autorisée sera punie. Quoiqu’il arrive, si nous détectons une activité suspecte de la part d’un utilisateur, nous bannissons leur compte jusqu’à confirmation qu’ils n’ont pas fait quelque chose d’illégal.
Malheureusement, ces utilisateurs peuvent être difficiles à identifier, mais nous essayons toujours d’être réactifs. Nous coopérons également avec les forces de l’ordre de tous les pays et nous répondons à leur réquisitions pour obtenir des informations d’utilisateurs suspectés d’utiliser le logiciel avec de mauvaises intentions ».
Le commentaire visé a rapidement été supprimé.
D’autres contradictions s’invitent. mSpy se soucie de rappeler à ses utilisateurs le nécessaire consentement des personnes ciblées par leur outil, en bas de la page d’accueil de leur site, en caractères minuscules grisés sur fond blanc… « avec insistance » donc.
L’avertissement sonne faux quand dans le chat commercial du site un vendeur nous précise : « Soyez informé que l’icône de mSpy n’est pas visible sur un téléphone cible. Il ne peut pas être repéré par l’utilisateur cible. La synchronisation des données se passe en arrière-plan inaperçu pour l’utilisateur. La seule personne qui peut accéder aux journaux du téléphone cible c’est vous à partir de votre panneau de configuration mSpy ».
Il sonne d’autant plus faux après une recherche Google sur le site en .fr de mSpy avec comme seul mot clé « conjoint ». Sur plusieurs de nos machines – y compris en navigation privée – le premier résultat renvoie vers cette page. Il faut descendre en bas et cliquer sur « Montre plus » pour découvrir tout un passage expliquant « à qui est destiné cette application pour contrôler un téléphone à distance ».
Bien évidemment « surveiller vos enfants » y est décrit, mais ce n’est pas tout :
« La seconde raison qui pourrait vous pousser à utiliser un logiciel de surveillance serait pour surveiller un proche autre, tel que votre conjoint. Il est tout à fait normal de connaître des doutes sur la fidélité d’une personne dans un couple. Cela, surtout dans les couples où des problèmes de fidélité se sont déjà posés. Vous vous demandez ce que fait réellement votre compagne lorsqu’elle dit aller faire les courses ? Vous avez des doutes sur l’endroit où se rend votre conjoint lorsqu’il est en déplacement ? Vous pourrez contrôler un téléphone à distance avec mSpy, et ainsi vous assurer que vous n’êtes victime de tromperie de la part de votre conjoint. Cela peut vous permettre de vous rassurer, ou vous aider à mettre fin à votre histoire si vous aviez déjà des soupçons existants. »
mSpy est ainsi référencé dans le moteur de recherche avec les termes utilisés dans ce paragraphe. Mais cette page nous réserve quelques surprises. En effet, si on enlève les arguments après le « ? » dans l’URL – c’est-à-dire si on veut accéder à cette adresse https://www.mspy.fr/logiciel-espion-de-telephone-portable.html – on revient à la page d’accueil. Il faut ajouter un « ?AvecCeQuonVeutDerriere » pour y accéder. Retour donc vers le service presse de mSpy afin d’avoir des explications, qui n’a pas répondu pour le moment.
Installation simple et rapide sur Android, jailbreak nécessaire sur iOS
Il suffit d’installer leur logiciel – nous l’avons testé sur un système Android – pour repérer d’autres ambiguïtés. Il faut nécessairement un accès physique au téléphone cible et avoir son code de déverrouillage. La disparition inexpliquée d’un téléphone et sa réapparition tout aussi inexpliquée fait partie du faisceau d’indices d’une éventuelle installation de stalkerware. Installer le logiciel peut prendre 5 à 10 minutes.
Pour l’installer sur un iPhone, il faut un téléphone jailbreaké, ce qui rend l’opération plus compliquée, mais pas non plus insurmontable. Un partenaire malintentionné peut aisément se procurer un iPhone jailbreaké, y installer un stalkerware puis ensuite « l’offrir » à la personne qu’il veut surveiller.
Sur Android, cette barrière technique n’existe pas. Nous suivons les étapes d’installation depuis un ordinateur, nous devons envoyer un lien au téléphone cible en notre possession pour télécharger le fichier d’installation « bt.apk », sans passer par un magasin d’application. Cette opération nécessite simplement d’autoriser l’installation d’applis inconnues dans les paramètres ; autorisation que l’on peut ensuite désactiver.
Il faut compter près d’une cinquantaine d’euros pour surveiller un téléphone pendant un mois. L’installation ne laisse pas trop de doutes sur le respect du consentement des cibles. L’une des étapes proposées, non-optionnelle, est d’« effacer les traces ».
Le guide invite l’utilisateur à supprimer les données de navigation, mais aussi le fichier « bt.apk » dans le répertoire téléchargements du téléphone avant de passer à l’étape suivante. Après cela, il sera difficile de repérer le stalkerware et donc de le désinstaller. Il faut aller dans les paramètres et inspecter l’ensemble des applications pour en apercevoir une dont le nom est « update service ».
Un tableau de bord de la surveillance
Une fois le logiciel installé, nous pouvons depuis un ordinateur avoir accès à un tableau de bord avec de nombreuses informations : une carte avec la géolocalisation du téléphone plutôt précise une fois l’appareil connecté à un réseau Wi-Fi. mSpy a bien repéré la rue et l’emplacement du téléphone, le taux de charge de la batterie, les sites Internet les plus visités et à quelle fréquence, un keylogger qui reporte les textes tapés dans les messages, même s’ils n’ont pas été envoyés, l’historique d’appel avec le numéro, la date et la durée de l’appel, tout le répertoire de contacts, les photos et les vidéos…
Et le tout, sans qu’aucune icône ne vienne avertir le propriétaire du téléphone. Les informations sont mises à jour régulièrement, toutes les 5 minutes. Cet envoi régulier de données peut parfois aider les victimes à repérer ce genre de surveillance.
Une batterie anormalement vite déchargée ou un forfait Internet rapidement dépassé sont autant d’indices de la présence d’un logiciel espion installé.
Référencement et « partenariat » comme nerf de la guerre
Il faut sortir du site mSpy et observer son référencement Google pour constater d’autres anomalies. Taper quelques mots clés comme « surveiller femme/copine/partenaire » ou « Lire les SMS de ma copine/femme » dans la recherche Google nous amène à deux constats.
D'une part, mSpy apparaît très souvent en première position dans le référencement commercial de Google, c’est-à-dire dans les annonces positionnées en dessous de la barre de recherche. Nous utilisons l’outil de veille concurrentielle Spyfu, qui permet de voir quels mots clés peuvent être exploités par les sites Internet et leurs concurrents pour être référencés dans les encarts publicitaires de Google.
Le domaine mspy.org semble bien avoir payé Google pour être référencé sur les groupes de mots « espionner son conjoint gratuitement ». Contacté par Next INpact, Google a confirmé cette information et affirme : « Nous n'autorisons pas les publicités faisant la promotion de logiciels espions pour la surveillance des partenaires. Nous avons immédiatement supprimé les publicités qui enfreignent cette règle et continuerons à suivre les nouvelles pratiques d’acteurs malveillants afin de les empêcher d'échapper à nos systèmes de détection. » Après vérification, Google a bien supprimé ces annonces.
D'autre part, une myriade de sites/blogs présente mSpy comme le site de référence pour surveiller une partenaire sans son consentement. Nous repérons dix sites avec des articles très semblables : « Comment savoir si ma femme me trompe et espionner son téléphone discrètement ? », « Comment espionner et piéger sa femme (ou son mari) infidèle ? », « Voici comment surveiller sa femme sans qu’elle le sache », « Les 5 meilleures applications gratuites pour espionner son conjoint »… Nous retrouvons le numéro de téléphone du propriétaire d’un de ces sites via l’outil Whois.
Après quelques échanges, il affirme bien avoir été démarché par mSpy. L’article, publié en octobre 2021 et en partie rédigé par l’entreprise, propose plusieurs méthodes pour « surveiller sa femme sans qu’elle le sache ». « Les entreprises qui me démarchent peuvent choisirent leur texte d’ancrage – les mots utilisés pour un lien utile à Google pour référencer les sites. Je facture entre 50 et 200 euros », témoigne-t-il.
« Il n’y a que comme ça que ça marche »
Le propriétaire du site se moque légèrement de nos questions, trop ingénues visiblement : « Il n’y a que comme ça que ça marche pour ceux qui ne peuvent pas faire de publicité légalement. Il faut acheter des liens et des emplacements sur des sites comme le mien ».
Nous contactons un autre éditeur, dont nous retrouvons facilement l’identité sur ledit site. L’article fait le classement des six meilleures applications pour espionner son conjoint. « C’est un article qui a plutôt bien marché », commente-t-il sans vouloir dévoiler les chiffres du trafic sur son site.
Selon les estimations d’outils comme Semrush ou SimilarWeb, les visites du site pourraient grimper à plus de 300 000 visites par mois. L’éditeur facture 450 euros hors taxe pour un article de « partenaire invité », c’est-à-dire entièrement rédigé par le client. Lui n’a plus qu’à encaisser et publier.
Suite à notre enquête, Google démonétise des pages
Nous contactons de nouveau mSpy à propos de cette publicité un peu trop explicite. Aucune réponse cette fois encore. Sur l’illégalité de ces contenus sur Internet, la plateforme Pharos, qui prévoit de signaler les contenus sur Internet pouvant inciter à commettre des infractions, nous répondra sommairement. La plateforme estime ne pas avoir suffisamment d’éléments à fournir à ce sujet et n’aurait pas reçu encore de signalements à propos de ce genre de contenus.
En revanche Google répondra à nos sollicitations : si ces pages ne font pas l’objet d’un déréférencement, elles ne doivent pas accueillir de publicités du moteur de recherche. Toutes les pages concernées dotées d’espaces publicitaires alloués par Google ont fait l’objet d’une démonétisation.
Partie visible de l’iceberg
L’ampleur du phénomène stalkerware au sein du couple reste peu connu, notamment du fait de la discrétion de ces dispositifs. Lors d’une enquête menée en 2018 sur les logiciels espions, le Centre Hubertine Auclert – centre francilien pour l’égalité femmes-hommes – en avait dénombré 14 bien référencés sur le marché francophone.
Echap, une association spécialisée dans la lutte contre les cyberviolences sexistes et sexuelles, en a repéré plus d’une centaine de son côté. Mais ce type de surveillance est loin d’être la seule. « Le partage de mot de passe au sein du couple est un phénomène bien plus massif, qui ne demande pas d’argent, mais nous en parlons moins », estime l’un des membres de l’association.
Ces pratiques bénéficient effectivement d’une forte acceptabilité sociale et questionnent. En novembre 2021, le collectif Féministes contre le cyberharcèlement avait mené une étude avec Ipsos en France. Un Français répondant sur cinq déclarait avoir déjà surveillé, fouillé le téléphone de son ou sa partenaire sans son autorisation.
Dans l’étude, parmi un chapelet de comportements cyberviolents, comme le harcèlement ou l’envoi de photos de parties génitales sans consentement, les faits de surveillance représentaient la catégorie la moins identifiée comme problématique.
Commentaires (42)
#1
Super intéressant comme article, bravo
#2
Merci pour cet article ! C’est assez malsain quand même.
#3
Bon article.
Ce qui est assez effrayant, c’est que d’un côté Google va démonétiser et retirer les liens très (trop?) rapidement après le signalement, mais les institutions françaises c’est “oulala, vous avez des preuves de ce que vous avancez ? personne s’est plaint jusqu’à présent donc c’est bizarre !, vous avez vos papiers ?”
#4
Très intéressant. Je relève quand même que sur iOS c’est plus compliqué. Il n’y a vraiment pas d’appli de ce genre pour ce système ? Évidemment on ne pourra pas autant camoufler son fonctionnement qu’avec Android ou un jailbreak mais j’imagine que c’est un secteur qui a aussi ses champions ?
Par ailleurs, je remarque en lisant les avis de clients diffusés sur le site qu’ils ne concernent que des “filles” :
Ma fille est une personne douce et gentille, je suis très heureuse d’avoir pu attraper ces personnes et d’avoir été en mesure de mettre fin aux abus”
L’école de ma fille est très loin de notre maison et nous devons nous assurer qu’elle soit en sécurité lorsqu’elle rentre de l’école.
J’ai remarqué que certains appels ennuyaient ma fille adolescente.
Même quand ils veulent se donner une bonne image on comprend où ils veulent en venir.
#5
C’est le moment de faire la pub pour GrapheneOS qui permet un contrôle plus fin des autorisations, et une notification plus précise quand un capteur est utilisé (genre GPS, micro etc…)
Mais bon, si on sait installer/utiliser GrapheneOS… J’imagine qu’on n’est pas vraiment le public ciblé par ce type de logiciels…
#5.1
GrapheneOS has official production support for the following devices:
Pixel 7 Pro (cheetah) — experimental
Pixel 7 (panther) — experimental
Pixel 6a (bluejay)
Pixel 6 Pro (raven)
Pixel 6 (oriole)
Pixel 5a (barbet)
Pixel 5 (redfin)
Pixel 4a (5G) (bramble)
Pixel 4a (sunfish)
Pixel 4 XL (coral)
Pixel 4 (flame)
ça fait pas beaucoup de device compatibles
#6
“les hommes en quête de contrôle sur leur conjointe”. Quel dommage, l’équipe Marketing de mSpy oublie tout un autre segment de client(e)s potentiel(le)s : “les femmes en quête de contrôle et surveillance sur leur conjoint.” Enfin en tout cas, mon ex femme aurait été une très bonne cliente…La nouvelle, beaucoup moins
#7
Et en plus, il semble que mSpy soit victime de fuite de données personnelles assez régulièrement …
#7.1
Ah ouais… C’est des champions en SSI en plus !
#8
Y a vraiment des tordus du cerveau qui l’utilise ?
#9
Tant qu’il y aura des personnes suspicieuses qui s’inquiètent sur la fidélité de leur conjoint ou la sécurité de leurs enfants, malheureusement oui.
#9.1
alors concernant les conjoints, je suis d’accord.
concernant les enfants par contre …
mon fils de 8 ans prends le bus tout seul pour aller à l’école, il à un traceur GPS dans sont sac à dos.
le but n ‘est pas de le suivre à la trace juste savoir où il est quand il n’est pas rentrer à l’heure prévue (déjà arriver suite à un retard du BUS, ba ça rassure quand tu peux voir où il est ) .
après là ça va très loin effectivement, pour les enfants google family fait le taff pour pouvoir les localisés en cas de soucis. (quand ils ont un portable)
#9.2
pour les enfants, juste, avoir un ‘GPS’ d’installé ça devrait suffire, mais lire
ses ‘E-mails’
et la VP ?
un peu de respect !
(SI l’enfant découvre ça….s’en sera fini de la confiance) !!!
#9.3
Je faisais pareil avec mes enfants - Ils sont plus grands maintenant - par contre on ne leur avait pas caché et bien expliqué et ils savaient ce qu’ils trimbalaient. De plus le tracker avait un bouton pour “Forcer” un point GPS et nous déclencher une alerte.
#10
Ce genre d’application ne devrait tout simplement pas exister 🤮
#11
Merci pour cette enquête !
#12
J’ai hâte que cet article apparaisse dans la partie « Ils en Parlent Tous » de leur site
.
#13
De toute façon, quand on en est rendu là pour installer ce genre d’applications sur le téléphone de son conjoint(e), hors enfants, je pense que comme on dit “les carottes sont cuites” ou bien “c’est le début de la fin… “
#14
VP ?
mon GPS chinois le fais aussi mais j’ai pas encore piger comment ça marche …
et bien évidement mon fils sais pourquoi il à ça dans sont sac et à quoi sa sert :) la base
#14.1
Je suppose que VP veut dire Vie Privée.
#14.2
#15
Il serait pertinent d’apporter un complément d’information pour détecter et désinstaller cette horreur. Il me semble que malwarebyte en est capable. Quelqu’un a des infos à ce sujet?
En tout cas, super article, effrayant mais très intéressant.
#15.1
+1, dommage qu’on ait aucune piste de détection / traitement de ce genre d’appli.
j’ai trouvé ça, ça a l’air à peu près objectif comme article, j’ai lu en diagonale
https://hackingninja.com/mspy/how-to-detect-and-remove-mspy-from-a-cell-phone.html
#16
#16.1
Non non, c’est un jeu de mot sur le fait que les hommes prennent leur aises sur la vie des femmes.
#16.2
“malaise” ?
#17
La société de la surveillance et de l’espionnage a de beaux jours devant elle.
Et vendre ce genre de service pour “surveiller sa femme”, ou comment afficher sans honte aucune estimer détenir un titre de propriété sur un être humain. Et c’est d’autant plus dégueulasse de mon point de vue de faire ça à l’insu d’un enfant, car c’est l’habituer à vivre sous surveillance permanente.
A mes yeux, ces dispositifs devraient être illégaux. Il n’y a aucune bonne raison d’espionner quelqu’un à son insu.
#17.1
100% d’accord avec toi 👍
#18
pour les enfants je conseille l’outil de Google Family Link. très bon contrôle parental.
sinon, vous attendez les suites judiciaires ? entre l’article, vos questions et les déférencements/démonétisations, y en a qui vont pas être contents ^^
#19
Il me semble que les dernières versions d’Android (12 dans mon cas) interroge régulièrement sur certains comportements d’applications, genre “application X envoie des données en arrière plan” ou “application X accède à votre position en arrière plan” et demande de revalider l’autorisation. Ça devrait permettre de faire sortir du bois ce genre d’app non ? (Même si avec le nom générique qu’elles ont, ça va incité à cliquer sur oui)
#20
Ou alors la personne cherche déjà des preuves pour le jour du procès (genre permettre un flag).
Sur le fond je suis plutôt outré par l’intentionnalité, moins par la technique: après tout l’appareil lui-même dispose des informations collectés, quand on achète un téléphone il y a des tas d’appli pré-installés dont la qualité est…. parfois douteuse. Et en plus elles sont mises à jour après coup.
=> Plus que les mari en manque de virilité, j’ai surtout peur que ce genre d’app puisse être poussé par des autorités sur des téléphones de …. “suspects” (là, encore, c’est ciblé), mais le glissement est aisé vers l’installation par défaut et activation à la demande par les “FDO”.
(fred42 va encore me traiter de parano à moins qu’il ne m’ai déjà bloqué, mais tant pis).
Sur la forme, je n’arrive pas à savoir si c’est l’article qui veux ça ou si l’article est le reflet de la communication de l’outil, mais à le lire j’ai l’impression malaisante que c’est bien le stalking d’un homme sur une femme qui est en cause, mais que l’inverse quelque part “moins grave”.
#21
L’infidélité n’est plus un motif pour obtenir un divorce pour faute.
#22
Ayé NexInpact est célèbre. L’article est repris par BFM :)
Source
#22.1
Je ne sais pas si Nextinpact va être content d’un article d’un concurrent résumant une enquête d’un de ses journalistes et touchant des droits voisins au passage, sans rien apporter de plus que de la visibilité.
BFM est le nouveau Google News??
#23
C’est indiqué dans l’article, appli se nomme “Update Service” et doit être listée dans Paramètres > Applications (où on peut la désinstaller en 2 clics), elle doit aussi remonter au top dans l’utilitaire de consommation de batterie et utilisation de data, bref la seule furtivité et qu’elle n’a pas d’icône dans le menu du tel.
#24
comme quoi ils (BFM) peuvent parfois faire du quali 😁
#25
En même temps, même une horloge arrêtée donne l’heure exacte 2 fois par jour!
#25.1
#26
non mais il me semble que ça peux jouer pour obtenir des avantages lors du partage de bien , garde d’enfants, …
#27
quand on, en, arrive à ce point…je crois qu’il est temps de se séparer
c’est qu’on N’A PLUS confiance l’un-dans-l’autre !
(plutôt que ces méthodes de barbouzes = ‘nimp’ )
#28
#28.1
Comme le disait Robert* :
“Au jeu de la vie le plus important c’est d’être bien à son aise pour ne pas transpirer à grosses gouttes et être mal à son aise.”
*Et non pas Mannach bien que le beret marque souvent le front médiatique.