Lorsque Mehdi Aifa a découvert Fireworld, un site vendant un logiciel espion pour téléphones, il a d’abord cru à une blague. En gros caractères, il était promis de « savoir si son fils est gay ». En « pirat [ant] le compte Facebook de votre fils » ou en « espionn [ant] son ordinateur sans autorisation », il serait ainsi possible de « faire enfin éclater la vérité » et « découvr [ir] les indices montrant une tendance homo », comme par exemple « une hygiène de vie irréprochable (il se coiffe pendant des heures) », un désintérêt pour le sport ou encore une « passion » pour les « chanteuses diva ».

« J’étais assis mais je suis tombé encore plus bas », raconte au Monde, quelques jours après, le président de l’Amicale des jeunes du refuge, une association de lutte contre l’homophobie. Peu après sa découverte, il se fend d’un tweet, dont l’écho attirera l’attention de nombreux médias et fera réagir la secrétaire d’Etat chargée de l’égalité entre les femmes et les hommes, Marlène Schiappa.

Mais cet article homophobe n’est que la face émergée d’une petite industrie, celle des marchands de logiciels espions grand public. Depuis des années, souvent depuis l’étranger et des paradis fiscaux, ces entreprises exploitent ce lucratif filon en toute opacité, flirtant dangereusement avec la légalité. Le Monde a recensé au moins 15 entreprises qui visent le marché français, parfois gérées par des Français. Certaines fleurent l’amateurisme voire l’escroquerie, mais d’autres mettent en œuvre des stratégies marketing agressives au service d’outils sophistiqués et extrêmement intrusifs pour la vie privée.

Des centaines de milliers de personnes espionnées

Le marché du logiciel espion est loin d’être anecdotique. mSpy, le géant du marché, revendiquait en 2013 déjà au moins un million d’utilisateurs dans le monde. La société FlexiSPY compterait, elle, 130 000 clients dans le monde, selon des pirates qui s’en sont pris à l’entreprise. La société éditant Hoverwatch prétend que sa solution a été installée sur 12 millions d’ordinateurs. Sur leurs sites, TopEspion et SpyStealth revendiquent respectivement 100 000 et 150 000 clients, sans que ces chiffres puissent être vérifiés.

Difficile d’obtenir un nombre de clients pour la France : ce chiffre est jalousement tenu secret par les rares entreprises qui ont répondu à nos sollicitations. L’une d’entre elles, BIBIspy, compte 50 000 clients rien qu’en France, selon son responsable Christian Passoni. « Notre marché principal, c’est la France, qui est le plus grand marché d’Europe en matière de logiciels espions. Les Français aiment bien ces produits. Ils les achètent sans problème. La France est un pays d’espions », explique-t-il au Monde. Environ 4 000 comptes associés à une adresse e-mail en «.fr » figurent dans les données piratées de l’entreprise FlexiSPY, selon des données transmises au Monde par le journaliste Joseph Cox, qui a révélé ce piratage. Si ce nombre ne donne qu’une estimation grossière de la quantité de clients français de cette entreprise, il montre cependant qu’il est loin d’être marginal.

Des logiciels extrêmement intrusifs

Ces logiciels, qui s’installent sur ordinateur mais visent surtout les téléphones portables, coûtent entre 7 et 75 euros par mois, en fonction de l’intrusivité du logiciel et de la durée d’engagement. Leurs fonctionnalités diffèrent selon le fabricant et le modèle du téléphone visé, mais le principe varie peu : ils prétendent avoir accès aux messages, aux photos, pouvoir activer le micro, écouter les appels, récupérer les caractères saisis au clavier ou encore accéder aux données de certaines applications (Facebook, WhatsApp, Snapchat…).

Pour disposer de cet accès, ces logiciels nécessitent que les garde-fous et protections prévues par le système d’exploitation du téléphone soient inopérants. Les appareils Android doivent donc être « rootés » et les appareils Apple « jailbreakés », une manipulation technique qui nécessite un accès physique à l’appareil. Dans le cas contraire, les logiciels sont bien moins efficaces.

Les fonctionnalités que Fireworld met en avant. / Capture d'écran

Concernant les téléphones, l’évolution récente de la technologie complique de plus en plus la tâche des fabricants de logiciels espions. Aujourd’hui, un utilisateur raisonnablement prudent qui applique les principes de base en termes de sécurité (ne pas laisser son téléphone sans surveillance, prévoir le déverrouillage par un code…) a peu de risques de se voir infecté. Sollicité par Le Monde, un ancien gestionnaire de logiciels espions, qui souhaite rester anonyme, pronostique un déclin et, à terme, la disparition du marché des logiciels espions commerciaux, en raison des mesures de sécurité déployées sur Android et iOS :

« Il y a eu un boom, il y a trois ans. Plus d’une centaine de nouveaux logiciels sont arrivés sur ce marché. A ce moment-là, développer ce type de logiciels restait relativement accessible, car le système d’exploitation Android était encore très vulnérable, et les appareils mobiles Apple pouvaient être jailbreakés facilement. »

Cependant, cette sécurité renforcée ne peut rien dans une large partie des cas où un logiciel espion est utilisé, en abusant de la confiance de l’utilisateur ou par la force (dans le cadre du couple ou de la relation entre le salarié et son employeur, par exemple).

Une utilisation quasi systématiquement illégale

Est-il légal d’utiliser ces logiciels ? A lire les sites des fabricants de logiciels espions, il serait possible d’utiliser leurs logiciels en restant dans les limites du droit français lorsqu’il s’agit, par exemple, d’espionner ses employés, ses enfants ou son conjoint.

En réalité, surveiller son conjoint sans son consentement est illégal. Le code pénal prévoit, d’une part, un an de prison et 45 000 euros d’amende pour avoir intercepté les communications privées d’autrui ou installé un logiciel permettant de le faire. D’autre part, les textes interdisant le piratage peuvent aussi s’appliquer. Là aussi, la sanction est claire : deux ans de prison et 60 000 euros d’amende. En mai, la Cour de cassation a justement confirmé la condamnation pour ces deux chefs d’accusation d’un avocat qui avait installé un logiciel espion sur l’ordinateur de sa femme.

La surveillance d’un ordinateur ou d’un téléphone joue un rôle parfois crucial dans les violences faites aux femmes. Les logiciels d’espionnage offrent aux conjoints violents une arme particulièrement puissante pour consolider leur ascendant physique et psychologique. Ce phénomène commence à apparaître sur les radars des associations de lutte contre les violences faites aux femmes. « C’est mal connu mais ça existe depuis un moment. Nous avons eu des témoignages d’hommes qui avaient placé des traceurs dans les GPS de voiture ou des logiciels espions dans le téléphone », explique Morgann Hervo, conseillère au Planning familial des Yvelines.

Ensuite, malgré les affirmations de la quasi-totalité des fabricants, la surveillance des salariés par leur employeur est strictement encadrée par la loi, et cette dernière ne permet pas l’installation d’un logiciel espion omniscient. Outre que ce type de dispositif doit faire l’objet d’une déclaration à la CNIL et d’une information des salariés, elle ne peut en aucun cas être permanente et systématique. Les enregistreurs de frappe – une des fonctionnalités des logiciels espions – sont illégaux sauf dans des cas très particuliers, a estimé la CNIL dès 2013.

Enfin, seule finalité susceptible de ne pas tomber sous le coup de la loi française, l’utilisation de logiciels espions par des parents désireux de surveiller leurs enfants. Le code civil oblige les parents à « protéger » leurs enfants, leur permettant de s’immiscer dans la vie privée de ces derniers. Mais, même dans ce cas, les utilisateurs de logiciels espions flirtent avec la ligne rouge.

D’abord, les logiciels espions permettent une immixtion dans l’intimité sans commune mesure avec la consultation ponctuelle de SMS ou l’ouverture d’un journal intime. Outre les messages, ils peuvent en effet donner accès à une géolocalisation permanente, à tous les caractères saisis sur un clavier, aux images prises par le téléphone ou permettre d’activer le micro à tout moment. Alors que les téléphones portables sont devenus les réceptacles de toute l’intimité de nombreux adolescents, peut-on atteindre les limites de la loi et du code civil qui imposent aux parents de surveiller leur enfant dans « le respect dû à sa personne » ? En l’absence logique de contentieux, et donc de jurisprudence en la matière, la question a interpellé les juristes et avocats sollicités par Le Monde.

« Au cas par cas, il me semble que si les parents estiment qu’une correspondance peut mettre en péril la sécurité, la santé ou la moralité de leur enfant, ils peuvent l’intercepter. Mais j’estime qu’il ne s’agit pas d’un droit d’interception général. Il semble impensable qu’un parent puisse lire le journal intime de son enfant, sauf s’il a des craintes d’une radicalisation djihadiste ou une autre cause très grave », explique par exemple Nicolas Creisson, avocat au barreau d’Aix-en-Provence, tout en précisant qu’en l’état la loi semble plutôt du côté des parents espions.

Les fabricants sont-ils conscients qu’ils fournissent un outil dont l’utilisation est presque toujours illégale ? Impossible de l’ignorer. Christian Passoni, de BIBIspy, reconnaît que de 30 % à 40 % de ses clients font de ses produits une utilisation illégale. Dans un communiqué de presse de 2013, les dirigeants de mSpy se disaient « surpris de découvrir qu’environ la moitié de leurs clients utilisent le logiciel pour surveiller leurs partenaires amoureux ». Aujourd’hui, une porte-parole de mSpy affirme annuler immédiatement l’abonnement du client en cas de plainte de la personne espionnée. Ces deux entreprises, comme tous les fabricants de logiciels espions, font figurer sur leurs sites des avertissements à leurs utilisateurs, leur enjoignant de s’assurer de la légalité de l’utilisation de leurs outils.

Des vendeurs dans le gris de la loi

Les utilisateurs des logiciels espions ne sont pas les seuls à prendre des libertés avec la loi, qui pourrait également se retourner contre leurs vendeurs. En théorie, toute vente, en France, de matériels d’écoute est soumise à une autorisation du premier ministre après avis d’une commission spécialisée, les contrevenants s’exposant à cinq ans de prison et à 300 000 euros d’amende. L’Agence nationale de la sécurité des systèmes d’information (ANSSI), qui assure le secrétariat de cette commission, rappelait ainsi en 2010 qu’il « est interdit de proposer et vendre sur Internet des logiciels permettant de piéger des téléphones mobiles à des fins d’écoute et de surveillance ».

Mais dans les faits, on est en pleine zone grise : le cadre juridique existant a été conçu lorsqu’il s’agissait de contrôler l’installation de matériels physique d’interception sur des réseaux téléphoniques, à une époque où les logiciels espions installables par des particuliers en trois clics sur des téléphones relevait de la science-fiction. Depuis, « les fonctionnalités d’interception, qui étaient auparavant matérielles, sont devenues logicielles », explique Alexandre Archambault, avocat spécialisé. La commission chargée d’autoriser ce type de dispositif, « dans ce prolongement historique », ne se penche pas sur de simples logiciels, selon M. Archambault, qui rappelle cependant que « rien dans les textes actuels ne sépare les deux ». « En France, la vente est interdite pour une entreprise française et punie d’une amende. Mais comme on est en Europe [République tchèque], on peut distribuer ce type de produit », assume Christian Passoni, de BIBIspy.

Aux Etats-Unis, le gérant d’une entreprise similaire a été arrêté en septembre 2014. Après avoir plaidé coupable, il a dû débourser une amende d’un demi-million de dollars. « Vendre un logiciel espion est un crime fédéral », avait indiqué à cette occasion une adjointe du ministre de la justice, Leslie Caldwell. A notre connaissance, aucun site de vente de logiciels espions n’a fait l’objet de poursuites en France.