path: root/Je_me_suis_espionn_avec_un_logiciel__150_que_nimporte_qui_peut_acheter.txt

Titre: Je me suis espionné avec un logiciel à 150€ que n'importe qui peut acheter
Auteur: Joseph Cox
Date: Fri 24 Feb 2017 07:00:00 +0100
Lien: https://motherboard.vice.com/fr/article/je-me-suis-espionne-avec-un-logiciel-a-150euro-que-nimporte-qui-peut-acheter
URL de téléchargement de Podcast: https://video-images.vice.com/articles/58aed8149330d574ef38b36a/lede/1487930077294-1487603899259-shutterstock_164945552-1.jpeg

J'étais dans un bar délabré et bruyant de Berlin, en train de discuter de 
choses intimes avec un ami. Mais à presque 7000 kilomètres de là, quelqu'un 
m'écoutait depuis son appartement à New York.

D'un simple SMS, cet espion avait activé à distance le micro de mon smartphone,
le transformant immédiatement en appareil d'écoute furtif. Cet exploit n'avait 
pas été rendu possible par un programme gouvernemental Top Secret ou par un 
bijou de technologie hors de prix. En vérité, n'importe qui peut faire la même 
chose pour à peine 150€.

Bienvenue dans l'industrie sauvage des outils d'espionnage en vente libre - de 
puissants logiciels malveillants pour ordinateurs et téléphones mobiles que les
compagnons jaloux, les concurrents ou les policiers véreux peuvent acheter sur 
Internet.

"Selon le prix que vous y mettez, vous pouvez vous retrouver avec un appareil 
qui fonctionne moyennement, ou quelque chose d'extrêmement puissant", m'a 
expliqué mar téléphone Yalkin Demirkaya, président de Cyber Diligence et 
enquêteur, qui a travaillé sur des affaires impliquant ce type de logiciels. 
Demirkaya a déjà entendu parler de cabinets d'avocats qui utilisaient des 
outils d'espionnage pour voler des informations sensibles à d'autres cabinets, 
et il a déjà traité une vingtaine de cas dans lesquels il était question 
d'outils d'espionnage en vente libre, sur ordinateur ou sur mobile.

Pour mieux comprendre à quel point ces logiciels sont puissants, j'ai acheté un
logiciel capable conçu pour infecter les appareils Android - SpyPhone Android 
Rec Pro, vendu par une entreprise polonaise. L'entreprise s'adresse avant tout 
aux détectives, mais visiblement n'importe qui peut se fournir sur leur site 
web ; le site propose aussi de quoi cracker des téléphones en contournant le 
mot de passe.

SpyPhone Android Rec Pro enregistre des copies de tous les SMS envoyés ou reçus
par le téléphone infecté, sauvegarde le journal des appels, vole toutes les 
photos prises par l'appareil, et indique où se trouve le téléphone à 5 mètres 
près grâce à un GPS. Il envoie ensuite toutes ces informations à l'adresse 
e-mail de votre choix, à la fréquence que vous souhaitez (une fois par jour ou 
toutes les heures, par exemple). Comme son nom l'indique, le logiciel 
intercepte également tous les appels entrants ou sortants et, comme je le 
disais, permet d'activer à distance le micro de l'appareil. En revanche, le SMS
"d'activation" est visible sur l'appareil ciblé, ce qui peut potentiellement 
alerter la victime pour peu qu'elle soit méfiante.

(Pour des raisons légales, j'ai informé tous mes interlocuteurs que nos 
conversations étaient espionnées.)

Juste après avoir passé commande, la compagnie m'a envoyé un e-mail contenant 
un lien de téléchargement du logiciel, une facture, et un manuel d'utilisateur.

"En raison des changements constants de la détection d'applications par Google,
nous vous recommandons de télécharger le logiciel directement depuis le 
navigateur de votre téléphone en utilisant le lien suivant", disait l'e-mail. 
C'était un fichier .APK, donc une application Android. Le programme coûtait 
150€.

En quelques minutes, j'ai téléchargé le logiciel, désactivé un paramètre de 
sécurité Android pour pouvoir l'installer, entré ma clé de souscription, et 
j'étais prêt à collecter des données. Si j'avais voulu le faire très vite - 
pendant que ma cible avait laissé son téléphone sur la table d'un bar le temps 
d'aller aux toilettes, par exemple - j'aurais pu tout configurer en quelques 
secondes.

Par défaut, l'interface utilisateur du logiciel apparaît sur l'écran d'accueil 
du téléphone comme n'importe quelle application, mais on peut la cacher d'un 
simple clic. En plus d'activer le micro grâce à un message spécifique, les SMS 
peuvent être utilisés pour modifier à distance les paramètres du logiciel, ou 
pour désactiver l'espionnage.
[image 1]

Photos capturés par l'auteur grâce à SpyPhone Android Rec Pro. Images: 
Motherboard

Je suis allé me promener dans Berlin avec mon téléphone infecté, suivant un 
trajet très touristique : Alexanderplatz, puis l'île aux Musées, avant d'aller 
me poser dans un petit coffee shop de Friedrichshain, et enfin de retraverser 
la ville pour rejoindre le bar miteux dont je parlais plus haut, où "l'espion" 
- un collègue à New York - a activé le micro de mon appareil. Toutes les 5 
minutes, le téléphone enregistrait ma position par GPS, et le logiciel volait 
en silence toutes les photos que je prenais.

Pendant ce temps-là, les rapports transmis automatiquement incluaient la 
latitude et la longitude de mon téléphone, et un lien vers sa localisation sur 
Google Maps. Le journal des appels incluait aussi des fichiers audio des 
conversations, et le logiciel informait même "l'espion" quand j'éteignais mon 
téléphone (aucune donnée ne peut être collectée quand il est éteint).

Une carte indiquant toutes les localisations enregistrées par le logiciel.

SpyPhone Android Rec Pro est loin d'être le seul logiciel-espion disponible 
dans le commerce. Il existe une multitude d'entreprises qui créent et vendent 
ce type de technologie. TheTruthSpy, par exemple, affirme offrir les mêmes 
possibilités, mais aussi être en mesure de surveiller les messages WhatsApp, 
les chats Facebook, et l'historique de navigation sur Internet.  XNSpy, de son 
côté, promet de continuer à collecter des données sur la cible même quand 
l'appareil n'est pas connecté à Internet. Enfin, Highster Mobile affirme que 
ses utilisateurs peuvent activer l'appareil photo du téléphone à distance.

Clairement, ces logiciels sont extrêmement puissants. Comme l'a découvert[2] 
l'expert en sécurité Morgan Marquis-Boire, certains de ces programmes ont été 
copiés par des agences gouvernementales, qui utilisent un code similaire. Mais 
ces logiciels en vente libre ne sont pas destinés aux gouvernements. À vrai 
dire, nombre des entreprises qui les proposent s'adressent de façon explicite 
aux maris jaloux - ou aux femmes - qui veulent espionner leur moitié.

"Beaucoup de gens trompent leur conjoint. Tout le monde a un téléphone 
portable. Son téléphone vous dira ce qu'il ou elle vous cache."

"Beaucoup de gens trompent leur conjoint. Tout le monde a un téléphone 
portable. Son téléphone vous dira ce qu'il ou elle vous cache", peut-on lire 
sur le site de FlexiSpy, l'une de ces compagnies.

Cindy Southworth, vice-présidente du National Network to End Domestic Violence[3]
, cite plusieurs exemples, y compris un site nommé HelloSpy.

"On y voyait l'image d'une femme jetée d'un lit dans le cadre de leurs pubs 
pour leurs produits d'espionnage conjugal", m'a-t-elle raconté par téléphone. À
l'heure actuelle, on trouve toujours sur le site de HelloSpy la photo d'une 
femme au visage ensanglanté et tuméfié.

"C'est répugnant, c'est sexiste, c'est dégueulasse", ajoute Southworth.
[image 4]

Capture d'écran du site de HelloSpy. Image: HelloSpy.

Les logiciels-espions utilisés pour surveiller l'être aimé ou faciliter les 
violences conjugales ne sont pas nouveaux ; ils existent depuis presque 20 ans,
et de nombreux cas impliquent des appareils qui ont été hackés. Mais la plupart
de ces logiciels sont inconnus du grand public, et les autorités ne se sont pas
penchées sur la question.

Au tournant du siècle, des espions utilisaient des programmes pour surveiller 
les gens qui utilisaient des machines Windows. En 2001, Steven Paul Brown avait
installé un logiciel baptisé eBlaster[5] sur l'ordinateur de son ex-femme, qui 
transmettait tout son historique de navigation à Brown par e-mail. En 2006, un 
étudiant informatique anglais de 28 ans a été condamné à la prison à perpétuité
pour avoir tué sa femme à coups de couteau. Il avait préalablement installé un 
logiciel assez sophistiqué[6] pour espionner son ordinateur.

Un an plus tard, un policier a été accusé d'avoir espionné son ex-petite amie 
grâce à un logiciel créé par Real Tech Spyware. Le logiciel, envoyé à la cible 
en tant que pièce jointe à un mail, enregistrait tout ce qui était tapé sur le 
clavier, donnant ainsi au policier accès au compte e-mail de son ex-copine. 
Selon les médias de l'époque, l'homme avait déjà avoué avoir eu recours à des 
logiciels pour espionner des femmes. Et la même année, un homme d'Austin, au 
Texas, a été condamné à quatre ans de prison[7] pour avoir installé SpyRecon 
sur l'ordinateur de son ex-femme. Le logiciel recensait tous les sites qu'elle 
avait visités et transmettait tous ses messages à son ex-mari.

Mais l'arrivée des smartphones a ouvert un nouveau boulevard à la surveillance.
Les logiciels sont soudain devenus capables d'intercepter des appels 
téléphoniques, de traquer la localisation d'un appareil au fil des déplacements
de son propriétaire, et d'extraire les informations collectées par les 
applications. En 2014, Cid Torrez a été accusé[8] d'avoir infecté le téléphone 
professionnel de sa femme (il avait été reconnu coupable de son meurtre 
quelques années plus tôt). L'année suivante, un homme a utilisé un logiciel de 
surveillance pour espionner le téléphone de son ex-femme[9] au cours d'une 
procédure de divorce.

Évidemment, tous les cas d'espionnage ne finissent pas devant les tribunaux, et
seule une infime partie aboutissent à une condamnation. Une enquête de 2014[10]
avait révélé que 75% des foyers pour victimes de violences domestiques avaient 
eu affaire à des victimes que leurs agresseurs avaient espionnées grâce à des 
applications cachées. 
[image 11]

Exemple de rapport contenant des enregistrements de SMS. Image: Motherboard

Certaines entreprises qui proposent ce genre de logiciels incluent des 
conditions générales d'utilisation sur leur site, sans doute pour prendre leurs
distances avec ce type d'affaires.

"LOGICIEL CONÇU POUR UNE UTILISATION STRICTEMENT LÉGALE", peut-on lire sur le 
site de mSpy. J'ai envoyé une liste de questions détaillées à l'entreprise qui 
vend SpyPhone Android Rec Pro concernant son produit, sa légalité, et ses 
usages potentiels, mais je n'ai pas reçu de réponse.

Les entreprises qui vendent des logiciels espions ont pourtant déjà été 
attaquées par les autorités, en particulier celles qui s'adressent 
explicitement aux époux jaloux.

En 2005, les autorités fédérales ont condamné Carlos Enrique Perez Melara, le 
créateur d'un logiciel à 89$ baptisé "Loverspy", pour pas moins de 35 charges 
criminelles. Le logiciel se propageait grâce à des images en apparence 
innocentes qui, lorsque l'on cliquait dessus, installaient le logiciel sur la 
machine ciblée. Un millier de personnes à travers le monde avaient acheté le 
programme et l'avaient utilisé pour extraire des informations de plus de 2000 
ordinateurs, selon le FBI. Deux hommes et deux femmes ont également été 
condamnés pour leur utilisation de l'outil. Perez Melara échappe toutefois aux 
autorités depuis plus de dix ans. Il a été ajouté à la liste des criminels les 
plus recherchés par le FBI en 2013[12].

Les enquêteurs ont eu plus de succès[13] avec Hammad Akbar, le PDG d'une 
entreprise qui vendait un logiciel nommé StealthGenie. Akbar a plaidé coupable,
et a du payer une amende de 500.000$.

D'après Demirkaya, suite à cette affaire, certaines entreprises ont privé leurs
logiciels de la capacité à intercepter les appels. Mais au final, les autorités
n'ont pas fait grand-chose pour empêcher le marché de la surveillance en vente 
libre de croître.

Quant à moi, dans mon bar berlinois, mon téléphone était censé arrêter 
d'enregistrer ce que je racontais au bout de trois minutes. Mais depuis, je ne 
peux plus m'empêcher de regarder son écran noir, en me demandant s'il ne 
m'écoute pas encore.

Liens:
[1]: https://video-images.vice.com/_uncategorized/1487704278349-android-spyware-pics.jpeg (image)
[2]: http://www.forbes.com/forbes/welcome/?toURL=http://www.forbes.com/sites/thomasbrewster/2017/02/16/government-iphone-android-spyware-is-the-same-as-seedy-spouseware/refURL=&referrer=#6c8063e33c7e (lien)
[3]: http://nnedv.org/about/staff/31-cs.html (lien)
[4]: https://video-images.vice.com/_uncategorized/1487703067189-HelloSpy.jpeg (image)
[5]: https://news.hitb.org/content/man-accused-using-software-watch-estranged-wifes-computer-use (lien)
[6]: http://news.bbc.co.uk/2/hi/uk_news/england/5165154.stm (lien)
[7]: http://www.darkreading.com/government/cybersecurity/jilted-lover-jailed-for-internet-monitoring/d/d-id/1129128? (lien)
[8]: http://www.sun-sentinel.com/news/crime/fl-miramar-cid-torrez-more-charges-20140808-story.html (lien)
[9]: http://www.nydailynews.com/news/national/man-suspected-installing-spyware-wife-phone-article-1.2378702 (lien)
[10]: http://www.npr.org/sections/alltechconsidered/2014/09/15/346149979/smartphones-are-used-to-stalk-control-domestic-abuse-victims (lien)
[11]: https://video-images.vice.com/_uncategorized/1487778627161-SMS_Redacted-1.jpeg (image)
[12]: http://www.sandiegouniontribune.com/g00/sdut-loverspy-hacker-fbi-2013nov07-story.html?i10c.referrer= (lien)
[13]: https://www.wired.com/2014/10/stealthgenie-indictment/ (lien)