Le stalkerware : anatomie d’un marché de surveillance intime
Le stalkerware : anatomie d’un marché de surveillance intime
Le stalkerware n’est pas un simple logiciel espion parmi d’autres. C’est une branche commerciale de la surveillance intime : des outils vendus comme contrôle parental, suivi familial ou monitoring professionnel, mais capables de fonctionner discrètement, de remonter des données sensibles vers un tableau de bord distant et d’installer une asymétrie de pouvoir durable entre la personne qui surveille et celle qui est surveillée.
Cette page ne traite pas le sujet comme un fait divers ni comme un guide anxiogène. Elle documente un marché : ses familles de produits, ses arguments commerciaux, ses limites techniques de détection, son cadre pénal en France, les précautions à prendre si vous pensez être visé·e, et la fragilité structurelle des infrastructures qui centralisent ces données.
Avertissement éditorial : Cette page documente le marché des stalkerware à des fins d’information et d’analyse critique. Elle ne constitue pas un conseil juridique. Les références aux articles du Code pénal sont données à titre indicatif : la qualification exacte des faits dépend du mode d’installation, des données collectées, des preuves disponibles et de l’appréciation du juge. Si vous pensez être victime, consultez directement les ressources en fin de page avant toute action technique.
Sommaire
1. Définition et taxonomie : trois familles à distinguer
La définition de référence est celle établie par la Coalition Against Stalkerware, une coalition internationale fondée en 2019, réunissant des acteurs de la cybersécurité, de l’accompagnement des victimes, de la recherche et des forces de l’ordre. Trois critères cumulatifs définissent un stalkerware : il opère sans que la personne ciblée en soit informée, il transmet ses données à un tiers à son insu, et il est conçu ou délibérément détourné pour surveiller une personne dans un contexte de relation intime, conjugale ou familiale.
Cette définition est nécessaire mais insuffisante. Dans la pratique, la surveillance intime non-consentie emprunte trois canaux distincts, très souvent confondus dans les articles généralistes, et cette confusion a des conséquences concrètes sur la façon de détecter, et de se protéger.
Famille 1 : L’implant applicatif sur Android
C’est le mécanisme le plus documenté. Une application est installée directement sur l’appareil Android de la cible, en dehors du Play Store, via un fichier APK téléchargé depuis le site de l’éditeur. L’opération nécessite un accès physique bref à l’appareil déverrouillé, quelques minutes suffisent.
Une fois en place, l’application peut fonctionner en arrière-plan avec une visibilité réduite ou sous un nom générique, »System Service », « Update Manager », de façon à ne pas attirer l’attention de la personne visée. Elle transmet en continu vers un tableau de bord accessible à distance : localisation GPS, SMS, appels, photos, historique de navigation, frappes clavier.
Ce vecteur concerne très majoritairement Android, dont l’architecture et la possibilité d’activer le sideloading rendent l’installation d’implants applicatifs furtifs beaucoup plus réaliste que sur iPhone. Les droits d’accès étendus accordables aux applications tierces n’exigent aucune modification profonde du système.
Famille 2 : La compromission de compte et de sauvegarde cloud sur iOS
Sur iPhone et iPad, la surveillance peut passer non par un implant local visible, mais par l’accès aux données synchronisées dans iCloud au moyen d’identifiants Apple compromis. Dans les cas documentés par TechCrunch en 2025 pour Cocospy, Spyic et Spyzie, c’est ce vecteur cloud qui ressort, plutôt qu’une application furtive installée localement sur l’appareil.
Cocospy – ©FamiSoft Limited.
Ce vecteur est particulièrement insidieux : il ne laisse aucune trace sur le terminal. Une victime qui fait analyser son iPhone ne trouvera rien, parce que la surveillance opère en dehors du téléphone, dans le cloud. Messages, photos, localisation, sauvegardes complètes : tout ce qu’Apple synchronise par défaut peut être accessible à un tiers qui dispose des identifiants.
Opposer « Android vulnérable » et « iPhone protégé » est techniquement paresseux. Les vecteurs sont différents. Les risques, non.
Famille 3 : Les MDM et outils d’administration détournés
Les profils MDM (Mobile Device Management) sont des outils légitimes d’administration d’appareils en entreprise. Ils permettent à un administrateur de déployer à distance des configurations, des restrictions d’usage et des politiques de sécurité sur un parc de terminaux, et, selon Apple, d’interroger l’appareil, de le verrouiller ou de l’effacer à distance. Détournés dans un contexte intime, ils peuvent être installés sur un iPhone ou un Android via un simple lien envoyé à la cible, parfois déguisé en mise à jour ou en application utile.
Sur iOS, un profil MDM apparaît dans Réglages → Général → VPN et gestion des appareils. Sa présence non reconnue est un signal fort.
Ces trois familles ne s’excluent pas. Un agresseur disposant des identifiants Apple de sa victime et d’un accès physique à son Android peut simultanément surveiller via iCloud et via un implant applicatif. La surveillance intime n’est pas monolithique.
Sources : Coalition Against Stalkerware, Information for media ; TechCrunch, analyse technique Cocospy/Spyic, février 2025 ; Apple, Apple Platform Deployment : Introduction aux profils de gestion d’appareils.
Pour en savoir plus : Piratages courants, comment se protéger ?
2. Le marché : acteurs, modèles économiques, double discours
Personne ne vend de « logiciel pour espionner son conjoint ». Le vocabulaire de ce marché est calibré avec soin : contrôle parental, gestion de flotte, localisation familiale. Ce n’est pas un accident de communication, c’est une stratégie. Elle permet d’éviter la censure des stores d’applications, de rester référencé sur les moteurs de recherche, et de limiter l’exposition judiciaire des éditeurs en transférant la responsabilité vers l’utilisateur final.
Le double discours est pourtant facile à mettre en évidence. FlexiSpy met en avant dans ses pages de vente des fonctions comme call interception (écoute d’appels en direct), ambient listening (activation du microphone à distance), et revendique ouvertement d’être « 100% hidden ». Aucun outil de contrôle parental légitime n’a besoin de ces capacités. mSpy se présente aujourd’hui comme outil de « parental safety », mais des archives de son site de 2012 affichaient sans détour l’argument « découvrez si votre partenaire vous trompe ». La communication a changé. Les usages, beaucoup moins, comme en témoignent les tickets de support exposés lors de la fuite de 2024.
Tableau analytique des principales opérations
| Opération | Promesse affichée | Vecteur principal | Furtivité | iOS | Positionnement tarifaire | Signaux publics notables |
|---|---|---|---|---|---|---|
| FlexiSpy | Surveillance parentale et professionnelle | Implant Android (et iOS jailbreaké) | Très élevée/mode fantôme, aucune icône | Jailbreak requis | Premium/plusieurs dizaines d'euros par mois | Aucun incident public majeur identifié à la date de mise à jour ; éditeur non identifié publiquement |
| mSpy | Contrôle parental | Implant Android + iCloud | Élevée/nom d'app générique | Via iCloud (sans jailbreak) | Entrée de gamme à premium/abonnement annuel | 3 fuites documentées (2015, 2018, 2024)/2,4 M d'adresses exposées en 2024 ; société mère Brainstack n'a jamais reconnu publiquement l'incident |
| Spyera | Surveillance familiale | Implant Android + iOS | Très élevée | Jailbreak requis | Premium à très premium | Peu d'incidents publics documentés ; opérateur non identifié |
| Cocospy/Spyic/Spyzie | Contrôle parental | Implant Android + iCloud | Élevée/app nommée "System Service" | Via identifiants iCloud | Abonnement mensuel/entrée de gamme | Faille critique exposée en février 2025 : 3,2 M d'adresses clients + données des victimes accessibles ; extinction des trois opérations en mai 2025 ; lien établi avec un développeur chinois (711.icu) |
Les prix exacts ne sont pas indiqués : ils varient fréquemment selon les promotions, le nombre d’appareils et les fonctionnalités activées. Les informations sur les opérations fermées (Cocospy, Spyic, Spyzie) sont labellisées avec leur date de fermeture connue.
Ce que les chiffres disent, et ce qu’ils taisent
Le rapport State of Stalkerware 2023 de Kaspersky, la référence sectorielle la plus complète disponible, documente 31 031 cas uniques détectés dans le monde sur l’année, en hausse de 5,8 % par rapport à 2022. En Europe, 2 645 cas recensés : Allemagne (577 cas), France (332), Royaume-Uni (271). La France se positionne au deuxième rang européen.
Ces chiffres ne portent que sur les appareils couverts par Kaspersky Security Network avec les critères de la Coalition intégrés. Ils excluent tous les utilisateurs d’autres solutions, les appareils non protégés, les cas où le stalkerware contourne la détection. Dès 2021, la Coalition estimait que le chiffre réel approchait le million d’instances par an à l’échelle mondiale. En France, 34 % des personnes interrogées dans l’enquête Kaspersky/Arlington Research (21 000 répondants, janvier 2024) déclaraient avoir été victimes de harcèlement ou le soupçonner.
Les chiffres officiels sont le bas de la fourchette. Personne ne sait où se situe le plafond.
Source : Kaspersky, State of Stalkerware 2023, mars 2024.
3. Un marché qui espionne… et qui fuit ses propres données
Ce secteur présente une caractéristique que ses éditeurs ne mettent évidemment pas en avant : il est structurellement incapable de protéger les données qu’il collecte. Et ces données ne sont pas anodines, ce sont les messages, photos, localisations et communications intimes de personnes surveillées, souvent à leur insu, souvent dans des situations de violence conjugale.
mSpy : compromission documentée au printemps 2024, révélée en juillet 2024. Des attaquants ont exfiltré l’intégralité du système de support client de mSpy, hébergé sur Zendesk. Le jeu de données dépassait 100 gigaoctets : millions de tickets de support remontant à 2014, adresses email, noms, pièces jointes, documents personnels. Troy Hunt (Have I Been Pwned) a recensé 2,4 millions d’adresses email uniques dans le dataset et en a confirmé l’authenticité. L’analyse des tickets par TechCrunch a révélé que la majorité des demandes de support concernaient l’installation de mSpy sur le téléphone d’un partenaire, confirmation directe, par les données internes de l’éditeur lui-même, que le produit est massivement utilisé hors de son cadre légal affiché. Parmi les emails exposés : des demandes émanant de hauts responsables militaires américains, d’un juge fédéral d’appel, d’organismes de forces de l’ordre. La société mère Brainstack, entreprise ukrainienne identifiée grâce aux données internes, n’a jamais reconnu l’incident publiquement. C’est la troisième fuite documentée pour mSpy depuis 2015.
Cocospy, Spyic, Spyzie : fuite documentée en février 2025, extinction en mai 2025. Un chercheur en sécurité a découvert une faille critique commune aux trois applications, qui partagent en réalité le même code source sous des marques différentes. La vulnérabilité permettait à n’importe qui d’accéder aux données exfiltrées de n’importe quel appareil compromis : messages, photos, journaux d’appels, localisation en temps réel. Elle exposait également les adresses email de l’ensemble des clients ayant créé un compte. Le chercheur a extrait 3,2 millions d’adresses clients et les a transmises à Have I Been Pwned. Les données des victimes, dont beaucoup ignoraient être surveillées, étaient stockées sur Amazon Web Services sans chiffrement adéquat. Après publication par TechCrunch, les trois opérations ont cessé de fonctionner. Leurs serveurs AWS ont été supprimés. Aucune explication officielle, aucune notification aux victimes.
Ces deux cas ne sont pas des exceptions. Selon le décompte de TechCrunch publié en mai 2025, au moins 25 opérations de stalkerware ont été compromises ou ont exposé les données de leurs victimes depuis 2017. Au moins 10 de ces opérations ont fermé dans la foulée d’une fuite, souvent en silence, parfois pour réapparaître sous un autre nom.
Le constat est simple : les personnes surveillées à leur insu ne font pas face à une seule menace. Leurs données sont entre les mains de l’agresseur, stockées sur des serveurs mal sécurisés, et susceptibles d’être exposées publiquement à tout moment. L’outil de contrôle devient un risque supplémentaire pour la victime.
Sources : TechCrunch, juillet 2024 (mSpy) ; TechCrunch, février 2025 (Cocospy/Spyic) ; TechCrunch, mai 2025 (extinction) ; Have I Been Pwned, mSpy 2024.
4. Détection : réalité opérationnelle
La vraie question n’est pas de savoir si un antivirus « marche » ou « ne marche pas ». Elle est : quel produit détecte quoi, sous quelle dénomination, et quel risque cette alerte crée-t-elle pour la victime au moment où elle se déclenche ?
Ce que voit un antivirus et ses angles morts
Les moteurs antivirus fonctionnent principalement par détection à base de signatures : ils comparent les fichiers présents sur un appareil à une base de données de menaces connues. Les stalkerware distribuent leurs applications via leurs propres sites, hors des stores, signées avec des certificats valides. Ils n’apparaissent pas spontanément dans les bases généralistes.
La Coalition Against Stalkerware a établi des critères consensuels permettant aux éditeurs de sécurité membres de référencer ces applications sans ambiguïté juridique. Le test AV-Comparatives / EFF publié en novembre 2025, à partir d’essais réalisés en septembre 2025, conduit sur 13 solutions de sécurité Android et 17 applications de stalkerware, montre des écarts importants selon les produits : certains atteignent une couverture quasi complète, d’autres restent médiocres. Et une alerte générique de type « application indésirable détectée » n’aide pas nécessairement une victime à comprendre qu’elle fait l’objet d’une surveillance intime, la dénomination et le message associé comptent autant que la détection elle-même.
Un antivirus ne peut pas détecter la surveillance via iCloud (famille 2) : aucun code malveillant n’est présent sur l’appareil. Il ne détecte pas non plus un profil MDM légitime détourné. Les angles morts sont structurels, pas des défauts de configuration.
Ce que voit un scan réseau et les limites de SpyGuard
TinyCheck, l’outil open source développé par Kaspersky en 2020, est désormais déprécié et n’est plus maintenu. La Coalition Against Stalkerware recommande depuis mai 2025 d’utiliser SpyGuard, son successeur développé par le même auteur, Félix Aimé, anciennement Kaspersky, aujourd’hui chez Sekoia.io. Les Indicateurs de Compromission (IoC) de SpyGuard sont depuis lors gérés par ECHAP, association française spécialisée dans la lutte contre les cyberviolences sexistes.
©TinyCheck, le détecteur de stalkerware
SpyGuard est un outil de triage réseau, pas un outil forensique. Installé sur un Raspberry Pi ou un ordinateur Linux, il crée un réseau Wi-Fi dédié et analyse le trafic sortant de l’appareil à examiner, à la recherche de communications vers des serveurs associés à des stalkerware connus.
Ce qu’il ne voit pas :
- un stalkerware configuré pour transmettre uniquement en 4G/5G, hors Wi-Fi ;
- un implant qui n’a pas communiqué pendant la durée du scan (minimum recommandé : 15 minutes) ;
- toute surveillance opérant via iCloud, dont le trafic ne génère aucun indicateur identifiable comme malveillant.
Un résultat négatif n’exclut pas la présence d’un stalkerware. La Coalition recommande de ne jamais procéder à un scan sans avoir préalablement contacté une ONG partenaire et établi un plan de sécurité. Supprimer un stalkerware détecté peut alerter l’agresseur.
Ce que révèlent les comportements et que les outils ne voient pas
Les stalkerware modernes sont conçus pour minimiser leur empreinte système. Les signes techniques classiques, batterie, données mobiles, applications suspectes, sont souvent absents ou masqués.
Le signal le plus fiable reste comportemental :
- un entourage qui dispose systématiquement d’informations sur vos déplacements, conversations ou activités qu’il ne devrait pas connaître ;
- qui réagit à des événements avant d’en être informé ;
- qui exerce un contrôle disproportionné sur vos communications.
Ce type d’éléments peut contribuer à étayer un faisceau d’indices utile dans une démarche de protection, de signalement ou de plainte, même en l’absence de preuve technique immédiate.
Sources : AV-Comparatives / EFF, Stalkerware Test 2025, novembre 2025 ; Coalition Against Stalkerware, recommandation SpyGuard, mai 2025 ; GitHub, SpyGuard/SpyGuard.
5. Cadre juridique en France
En France, l’installation d’un stalkerware sans le consentement de la personne ciblée est une infraction pénale. Plusieurs textes s’appliquent de manière cumulative selon les faits.
- Article 226-1 du Code pénal : protège la vie privée et sanctionne notamment la captation, l’enregistrement ou la transmission de la localisation d’une personne sans son consentement.
- Article 226-15 : punit l’interception frauduleuse de correspondances. Depuis la loi du 20 juillet 2020, ces deux articles prévoient une circonstance aggravante lorsque l’auteur est le conjoint, concubin ou partenaire pacsé de la victime : les peines passent à 2 ans d’emprisonnement et 60 000 euros d’amende.
- Article 323-1 : sanctionne l’accès frauduleux à un système informatique.
- Article 323-3 : vise non seulement l’introduction frauduleuse de données dans un système, mais aussi leur extraction, détention, reproduction, transmission, suppression ou modification frauduleuses.
- Article 323-3-1 : peut couvrir la détention, l’offre, la cession ou la mise à disposition d’outils logiciels conçus ou spécialement adaptés pour commettre les infractions prévues aux articles 323-1 à 323-3.
La qualification exacte dépend des faits, du mode d’installation, des données collectées et des preuves disponibles.
Le fossé entre le texte et la réalité
Les textes existent. Leur application effective bute sur des obstacles structurels que le droit n’a pas encore vraiment résolus.
La preuve numérique est difficile à obtenir sans analyse forensique de l’appareil, compétence hors de portée de la plupart des victimes, et procédure qui, si elle est mal conduite, peut alerter l’agresseur avant toute démarche judiciaire. Les éditeurs opèrent presque tous depuis des juridictions non européennes et se protègent via des clauses de « responsabilité exclusive de l’utilisateur » : l’outil est commercialisé ouvertement, son usage ne les regarde pas. En l’absence de jurisprudence européenne consolidée visant directement les éditeurs, cette défense reste pour l’instant opérante.
À titre de repère : le ministère de la Justice recensait 44 condamnations de première instance en 2021 pour des faits de géolocalisation sans consentement avec circonstance aggravante conjugale, pour un phénomène dont l’ampleur réelle est estimée en centaines de milliers de cas par an.
À noter : la Suisse a introduit en janvier 2026 un délit spécifique de stalking dans son Code pénal. La France ne dispose pas d’une qualification autonome équivalente. Les textes existants couvrent le périmètre, mais leur dispersion et les difficultés probatoires laissent une marge de manœuvre considérable à ceux qui veulent s’y glisser.
Sources : Légifrance, articles 226-1, 226-15, 323-1, 323-3, 323-3-1 du Code pénal ; Politis, enquête stalkerware 2022 (chiffres ministère de la Justice) ; Conseil fédéral suisse, communiqué novembre 2025.
6. Protocole si vous êtes concerné·e
Une priorité avant tout : votre sécurité physique prime sur toute action technique. Supprimer un stalkerware peut alerter l’agresseur et aggraver une situation déjà difficile. Chaque étape ci-dessous doit être évaluée dans votre contexte spécifique, idéalement avec l’aide d’un professionnel.,
| Étape | Action | Pourquoi c'est critique |
|---|---|---|
| 1. Ne rien modifier immédiatement | Ne signalez pas vos soupçons depuis l'appareil concerné. Ne changez pas vos habitudes. | Certains stalkerware transmettent une alerte à l'agresseur dès qu'une modification est détectée sur l'appareil. |
| 2. Utiliser un appareil sûr | Toutes vos recherches et démarches doivent passer par un appareil distinct, téléphone d'un proche de confiance, ordinateur public, poste professionnel. | L'appareil compromis transmet l'intégralité de votre activité, y compris vos démarches de protection. |
| 3. Contacter une ONG avant toute action technique | Contactez France Victimes (116 006) ou le 3919 pour un accompagnement personnalisé et l'élaboration d'un plan de sécurité. | Les professionnels adaptent les recommandations à votre situation. Certaines étapes peuvent être contre-productives sans ce cadrage préalable. |
| 4. Documenter les comportements anormaux | Notez toute situation où votre entourage dispose d'informations qu'il ne devrait pas avoir, dates, contextes, type d'information. Depuis un appareil sûr. | Ce faisceau d'indices peut contribuer à étayer une démarche de signalement ou de plainte, même sans preuve technique directe. |
| 5. Sauvegarder manuellement | Copiez photos, contacts et documents vers un support externe ou un compte auquel vous seul·e avez accès. Sans passer par une restauration cloud automatique. | Une restauration depuis un backup contaminé peut réinstaller le stalkerware sur un appareil neuf. |
| 6. Examiner l'appareil | Android : vérifiez les applications et leurs permissions système. Cherchez si l'installation depuis "sources inconnues" est activée. iPhone : cherchez un profil MDM non reconnu dans Réglages → Général → VPN et gestion des appareils. | Un profil MDM non reconnu est un signal fort sur iOS. Sur Android, une application nommée "System Service" sans éditeur identifié doit alerter. |
| 7. Réinitialisation d'usine | Réinitialisez l'appareil sans restaurer depuis un backup cloud automatique. À faire uniquement une fois votre sécurité assurée. | Méthode la plus fiable pour éliminer un implant applicatif. Une restauration peut tout réinstaller. |
| 8. Changer tous les accès depuis un appareil sûr | Modifiez les mots de passe de tous vos comptes (email, réseaux sociaux, Apple ID / compte Google, banque) et activez l'authentification à deux facteurs. | Un keylogger peut avoir capturé tous vos identifiants. Changer l'Apple ID coupe également l'accès iCloud à un éventuel attaquant. |
Ressources
- France Victimes : 116 006 (disponible 7j/7)
- 3919 : ligne nationale pour les femmes victimes de violences : écoute, information, orientation
- 3018 : numéro national contre les cyberviolences, particulièrement adapté aux jeunes victimes et aux situations de harcèlement numérique
- Cybermalveillance.gouv.fr : cybermalveillance.gouv.fr
- ECHAP : association française contre les cyberviolences sexistes, gestionnaire des IoC de SpyGuard : echap.eu.org
- Coalition Against Stalkerware : stopstalkerware.org
7. Méthodologie
Cette page repose exclusivement sur des sources primaires vérifiables : rapports annuels publiés par des organisations de cybersécurité (Kaspersky, AV-Comparatives/EFF), enquêtes journalistiques sourcées (TechCrunch, Malwarebytes Labs), textes législatifs officiels (Légifrance), documentation technique des outils cités (GitHub SpyGuard, Coalition Against Stalkerware), données de notification de fuites (Have I Been Pwned).
Aucun éditeur de stalkerware n’a été contacté pour cette page et aucune de leurs déclarations commerciales n’est reprise sans mise en contexte critique. Les prix des applications ne sont pas indiqués en valeur absolue, ils varient trop fréquemment. Les informations sur les opérations fermées (Cocospy, Spyic, Spyzie) sont labellisées avec leur date de fermeture connue.
Cette page sera mise à jour au fil des publications du rapport annuel State of Stalkerware de Kaspersky et des incidents documentés par TechCrunch et la Coalition Against Stalkerware. Dernière mise à jour : mars 2026.
A propos de l'auteur : Lisa
Fondatrice de VPN Mon Ami
Experte en cybersécurité avec plus de 12 ans d'expérience dans le domaine des VPN, j'écris de nombreux articles pour sensibiliser les internautes à la confidentialité en ligne.
