Se protéger contre le stalkerware et la diffusion d’images intimes

Author

Rohini Lakshané
Published on: 6 November 2024
Illustration of a computer screen with a hand typing, exploring options to defend against stalking. Options on the screen include name alert, block and report a problem. A glass of water is on the left side of the computer and a plant is on the right. Illustration by Laura Ibáñez López.
Laura Ibáñez López

Tapez « comment espionner mon/ma conjoint·e » dans un moteur de recherche (ou remplacez « conjoint·e » par « amant·e », « petit·e ami·e ») et vous découvrirez une réalité glaçante. Une multitude de sites web proposent des conseils et des outils à ceux et celles qui soupçonnent leur partenaire d’infidélité, qui souffrent d’une rupture difficile, ou qui traversent une séparation, un divorce ou une bataille pour la garde d’enfants. Cette profusion d’informations illustre une convergence inquiétante : celle de l’industrie de la surveillance et des relations intimes toxiques. On y trouve des recommandations pour embaucher des détectives privé·e·s, installer des caméras espionnes miniatures dans des endroits censés être privés, ou pirater l’ordinateur ou le téléphone de la cible.

Imaginez un instant : votre partenaire vous convainc d’installer une « application de sécurité » sur votre téléphone, pour vous géolocaliser en cas d’urgence. L’application est censée envoyer votre position uniquement lorsque vous déclenchez une alerte SOS. Une idée rassurante, en apparence… Mais la réalité est souvent plus sombre. À votre insu, cette application pourrait permettre à votre partenaire de vous suivre à la trace en permanence.

C’est ce qu’on appelle le stalkerware : des logiciels, applications ou dispositifs conçus pour surveiller une personne en secret. Si ce terme est souvent associé au harcèlement conjugal, il est également utilisé pour qualifier les pratiques de certains employeur·euse·s abusif·ve·s. Le terme « spouseware » est parfois employé pour désigner spécifiquement le stalkerware utilisé par les conjoint·e·s.

L’apparence trompeuse du stalkerware

Le stalkerware est d'autant plus dangereux qu'il peut se faire passer pour un logiciel inoffensif, voire utile. Prenons l’exemple de deux écoles de Philadelphie qui ont installé le programme LANrev TheftTrack sur les ordinateurs portables fournis aux élèves. Une fonctionnalité de ce programme, censée permettre de retrouver les ordinateurs volés ou égarés, autorisait en réalité les administrateur·rice·s à activer la caméra à distance et en secret. En 2010, le scandale éclate : certain·e·s élèves ont été photographié·e·s à leur insu, y compris dans des situations intimes, sur des ordinateurs qui n’avaient pourtant pas été signalés comme perdus ou volés.

Certains stalkerware sont de véritables caméléons. Ils se cachent sur votre appareil sans laisser de trace : pas d'icône, pas de nom reconnaissable... Ils imitent les processus normaux du système pour passer inaperçus.

Le rapport annuel de Kaspersky, The State of Stalkerware, recense les 10 principales applications de stalkerware dans le monde en termes de nombre d’utilisateur·rice·s affecté·e·s : TrackView, Reptilic, SpyPhone, MobileTracker, Cerberus, Wspy, Unisafe, Mspy, MonitorMinor, et KeyLog.

Si le nombre d’utilisateur·rice·s touché·e·s en 2023 varie de 800 à 4 000 environ selon le rapport, l’incidence réelle des applications de stalkerware est probablement beaucoup plus élevée.

L’étendue de l’intrusion du stalkerware

L’installation d’un stalkerware nécessite généralement un accès physique à l’appareil de la cible, mais les connaissances techniques requises sont minimes. Ce qui est alarmant, c’est la multitude d’applications commercialisées pour le contrôle parental ou la surveillance des employé·e·s qui peuvent être facilement détournées à des fins de harcèlement.

Prenons l’exemple de KidsGuard Pro, vendue par son développeur ClevGuard comme une application de contrôle parental. Elle offre une panoplie de fonctionnalités permettant à la personne malveillante, à distance et à l’insu de la cible, de :

  • consulter l’historique des appels et des messages (même supprimés), et enregistrer les conversations téléphoniques ;

  • prendre des captures d’écran et enregistrer des vidéos de l’écran ;

  • activer la caméra et le microphone pour capturer des photos, des vidéos et des sons de l’environnement ;

  • suivre la position GPS et consulter l’historique des déplacements ;

  • lire les messages sur les applications de messagerie instantanée et les réseaux sociaux ;

  • consulter l’historique de navigation ;

  • accéder aux photos, vidéos, documents, calendriers et autres fichiers.

Ce niveau de détail donne à la personne qui harcèle un accès à tous les aspects de la vie de la cible. Elle peut voir, par exemple, un rendez-vous médical dans le calendrier, une copie d’une pièce d’identité, un relevé de carte bancaire révélant l’achat d’un visiophone, des conversations sur une application de rencontre, ou encore l’enregistrement d’un appel téléphonique où la cible décrit les violences subies. ClevGuard vante d’ailleurs les mérites de son application pour déterminer si votre conjoint·e vous trompe.

Il est important de comprendre que la violence conjugale se limite rarement à la sphère en ligne ou hors ligne ; elle est omniprésente. Si un·e partenaire utilise un stalkerware, il y a de fortes chances que la personne surveillée soit déjà victime de violence, de contrôle coercitif ou de harcèlement au sein de la relation, ou même après sa rupture. Les informations détaillées recueillies par le stalkerware permettent à la personne malveillante de savoir quand et où sa cible est vulnérable, et peuvent même entraver ses tentatives de fuite ou de demande d’aide. Cela peut aggraver la situation et mettre en danger la sécurité de la victime.

Comment le stalkerware conduit à des abus basés sur l’image

L’une des menaces potentielles du stalkerware est l’abus basé sur l’image. Communément appelé revenge porn, l’abus basé sur l’image se produit lorsque quelqu’un capture, crée, publie, diffuse ou menace de diffuser des images ou des vidéos de nature intime d’une autre personne sans son consentement. Ces images et vidéos sont appelées « images intimes non consensuelles » (IINC).

Voici comment le stalkerware peut conduire à des abus basés sur l’image :

Capture à distance

À votre insu, la personne qui vous harcèle active à distance la caméra et le microphone de votre téléphone. Elle peut prendre des photos et des vidéos lorsque vous êtes dans l’intimité de votre domicile, voire dans des situations à caractère sexuel. Ces images deviennent alors des armes qu’elle peut diffuser ou menacer de diffuser.

Exploitation d’images existantes

Le stalkerware permet également d’accéder aux selfies et vidéos intimes que vous conservez sur votre appareil. La personne malveillante peut s’en servir pour vous menacer ou les diffuser à votre insu.

Fuites accidentelles

Même si la personne qui vous harcèle n’a pas l’intention de partager ces images, des fuites peuvent se produire. Un téléphone perdu ou volé, un compte de stockage en ligne piraté, un courriel intercepté…

Autant de failles qui peuvent mettre ces images en circulation sur Internet, où elles deviennent extrêmement difficiles à contrôler. Supprimées d’un site, elles peuvent réapparaître ailleurs. C’est ce qu’on appelle la distribution en aval.

L’abus basé sur l’image entraîne des conséquences dévastatrices sur tous les aspects de la vie des personnes victimes/survivantes. Humiliation publique, stigmatisation, boycott social, perte d’emploi, abandon par la famille, problèmes de santé mentale et physique… Les victimes peuvent aller jusqu’à envisager le suicide. (Pour en savoir plus sur l’impact de ces abus sur les victimes, les modes de capture, d’accès et de diffusion des images et vidéos, et les recours possibles, consultez le document Images intimes non consensuelles : un aperçu.)

La personne qui harcèle, ou toute personne en possession de ces images, peut recourir à la « sextorsion », en exigeant de l’argent ou d’autres faveurs en échange de la non-diffusion des images.

Ces images peuvent aussi servir à vous intimider ou à vous manipuler. Un·e ex-partenaire peut exiger la reprise de la relation. Un·e conjoint·e peut imposer des conditions dans le cadre d’une procédure de divorce ou de garde d’enfants.

L’insécurité des données

La sécurité du stalkerware est loin d’être garantie. Des enquêtes menées par des chercheur·euse·s et des journalistes (voir ici, ici, et ici) ont révélé que plusieurs stalkerware ont été victimes de fuites de données et de failles de sécurité, exposant des centaines de milliers d’utilisateur·rice·s et de cibles à des risques considérables.

Des informations confidentielles, y compris des images intimes non consensuelles (IINC), se retrouvent sur l’internet public et le dark web, à la merci des cybercriminel·le·s. Noms, adresses, profils sur les réseaux sociaux… toutes ces données sont vulnérables. Les victimes sont alors exposées à de multiples dangers : abus basés sur l’image, vol d’identité, extorsion… Les images et informations divulguées peuvent être republiées sur d’autres sites, y compris des plateformes d’extorsion et de diffamation (telles que le site fermé depuis IsAnyoneUp) qui exigent de l’argent pour les supprimer, une pratique appelée « sextorsion ».

Plusieurs facteurs expliquent cette insécurité :

  • Les entreprises qui conçoivent des stalkerware privilégient leurs profits à la sécurité de leurs logiciels et des données sensibles. Ce manque de responsabilité est malheureusement prévisible. Les entreprises qui prospèrent en exploitant les problèmes de confiance et en proposant des outils de surveillance contraires à l’éthique (et potentiellement illégaux) ne sont guère enclines à investir dans des mesures de sécurité robustes. Comme l’explique Eva Galperin, Directrice de la cybersécurité à l’Electronic Frontier Foundation, « Les personnes qui dirigent ces entreprises ne sont peut-être pas les plus scrupuleuses ou les plus soucieuses de la qualité de leur produit ».

  • Le stalkerware est une cible de choix pour les pirates malveillant·e·s. Le volume et la nature sensible des données qu’il collecte, combinés à des mesures de sécurité souvent laxistes, en font une proie facile.

  • Tant que le stalkerware existera, les fuites de données représenteront une menace permanente pour les cibles, qui resteront exposées à la cybercriminalité et à l’exploitation.

Se protéger contre les abus basés sur l’image liés au stalkerware

Face à la menace du stalkerware et des logiciels espions, la protection la plus simple et accessible reste le cache-caméra. Ces petits autocollants amovibles, que l’on trouve sous le nom de « cache-caméra » ou « autocollants de confidentialité », recouvrent l’objectif de votre caméra et empêchent toute capture d’images à votre insu. Vous trouverez d’autres documents et stratégies conçues pour les personnes victimes/survivantes dans l’article précédemment cité.

Nettoyer les données sensibles et les protéger par cryptage peut également limiter les risques. Malheureusement, certains stalkerware sont capables de contourner le cryptage et d’accéder au contenu des applications de messagerie et des espaces de stockage.

Détecter et supprimer un stalkerware

Attention : Avant d’agir, prenez garde ! 

Supprimer ou désactiver les outils utilisés par la personne qui vous harcèle peut l’alerter et aggraver la situation. Cela pourrait compromettre votre sécurité et vous couper de vos soutiens ou vous empêcher de quitter la relation.

Si vous êtes victime de cyberharcèlement ou si vous accompagnez une personne qui l’est, il est essentiel d’analyser la situation avec soin avant de prendre des mesures.

N’hésitez pas à demander de l’aide.

Des professionnel·le·s spécialisé·e·s peuvent vous accompagner. Pour les contacter, privilégiez un appareil et une connexion que la personne qui vous harcèle n’utilise pas et ne peut pas surveiller.

Les conseils de cet article sont à suivre avec prudence. Il est important d’avoir un plan de sécurité et de bien évaluer les risques avant d’agir.

La Coalition contre le stalkerware : leur site web StopStalkerware.org est une mine d’informations sur le stalkerware, l’aide disponible et les ressources pour les victimes. Vous y trouverez également des informations sur les groupes de soutien locaux dans certaines régions du monde.

Basée en Europe (et adressée à un public européen), la campagne DeStalk propose des informations et des ressources pour les victimes et les personnes qui les soutiennent, ainsi qu’un cours en ligne gratuit sur la cyberviolence et le stalkerware.

Des logiciels anti-malware tels que Kaspersky et MalwareBytes peuvent détecter la présence de stalkerware sur un appareil. Ils sont disponibles pour divers systèmes d’exploitation et types d’appareils. Soyez vigilant·e face aux applications malveillantes qui se font passer pour des logiciels de sécurité et de confidentialité. Des logiciels malveillants (appelés « malwares ») peuvent se déguiser en anti-malware. Pour mieux savoir comment identifier les logiciels et les applications malicieuses, consultez cet article et celui-ci.

TinyCheck est un outil gratuit développé par Kaspersky qui permet de vérifier discrètement si un logiciel espion est installé sur un appareil. Son utilisation peut nécessiter quelques connaissances techniques. Cet article explique de manière détaillée l’utilisation de TinyCheck et les stalkerware dans le contexte des abus commis sur l’intimité de partenaires.

TechCrunch a mis au point un outil de recherche et des instructions pour vérifier si un appareil Android a été compromis par l’application stalkerware TheTruthSpy ou d’autres applications similaires. Ces applications appartiennent à un réseau de stalkerware disponibles dans le commerce.

Le projet Safety Net offre un guide pour vérifier si un appareil a été « rooté » ou « jailbreaké », dans le cadre d’une boîte à outils plus large destinée aux victimes de violence. Le « rooting » et le « jailbreaking » permettent aux partenaires abusif·ve·s de compromettre la sécurité des appareils, les rendant plus vulnérables aux stalkerware.

En termes de mesures préventives :

  • Soyez prudent·e lors du téléchargement d’applications : Ne téléchargez des applications qu’à partir de sources fiables, comme les boutiques d’applications officielles.

  • Mises à jour logicielles : Maintenez votre système d’exploitation, vos applications et vos logiciels de sécurité à jour.
  • Attention au Wi-Fi public : Évitez d’accéder à des informations sensibles sur des réseaux Wi-Fi publics non sécurisés.

Ressources vidéo : Mythes et réalités du stalkerware par Safety Net Project.

La partie suivante de cette série explore les contre-mesures face aux techniques de harcèlement qui impliquent des applications, des fonctionnalités et des services en ligne couramment utilisés.

Rohini Lakshané est chercheuse interdisciplinaire, technologue et wikimédienne. https://about.me/rohini
Illustration de Laura Ibáñez López, https://cargocollective.com/pakitalouter

Tags
stalking campaign 2024