Imaginez que quelqu’un installe secrètement une application sur votre téléphone pour lire vos messages, voir vos photos privées, suivre vos déplacements à la trace. Sans que vous le sachiez. Cela semble terrifiant, n’est-ce pas ? Pourtant, c’est exactement ce que permettent les stalkerwares, ces logiciels espions commercialisés auprès du grand public. Récemment, un événement majeur a marqué la lutte contre ces outils intrusifs.

La FTC confirme l’interdiction à vie d’un pionnier du stalkerware

Le 8 décembre 2025, la Federal Trade Commission américaine a annoncé qu’elle maintenait intégralement la sanction prononcée en 2021 contre Scott Zuckerman. Ce dernier, fondateur de Support King et de ses filiales SpyFone et OneClickMonitor, s’était vu interdire à vie d’exercer toute activité liée à la surveillance. Une décision rare et symbolique qui montre que les autorités ne lâchent pas prise.

Cette interdiction fait suite à une série de manquements graves en matière de sécurité et de protection des données. Zuckerman avait tenté, en juillet 2025, de faire lever ou assouplir la sanction, arguant que les exigences imposées compliquaient la gestion de ses nouvelles activités (un restaurant et des projets touristiques à Porto Rico). La FTC a balayé ces arguments d’un revers de main.

Qu’est-ce qu’un stalkerware et pourquoi est-il si dangereux ?

Les stalkerwares sont des applications conçues pour surveiller à l’insu de la personne ciblée l’ensemble des activités d’un smartphone. Messages texte, appels, photos, localisation GPS, historiques de navigation… rien n’échappe à l’espion. Ces outils sont souvent vendus comme des solutions de “contrôle parental” ou de “suivi de conjoint”, mais ils servent fréquemment à des fins abusives.

Le danger est double. D’abord pour la victime, qui voit sa vie privée totalement violée. Ensuite pour tout le monde, car ces entreprises accumulent des données ultra-sensibles sans les protéger correctement.

Le stalkerware était caché aux propriétaires des appareils, mais totalement exposé aux pirates qui ont exploité la sécurité négligente de l’entreprise.

Samuel Levine, ancien directeur par intérim du Bureau de protection des consommateurs de la FTC (2021)

Cette citation résume parfaitement le problème : ces sociétés promettent la discrétion à leurs clients… mais sont incapables de protéger les informations volées.

Retour sur le scandale SpyFone de 2018

Tout a commencé en 2018 quand un chercheur en sécurité a découvert un bucket Amazon S3 mal configuré appartenant à SpyFone. Ce serveur contenait des téraoctets de données non protégées :

  • Plus de 44 000 adresses email uniques
  • Des milliers de selfies et photos personnelles
  • Enregistrements audio
  • Messages texte et discussions d’applications de messagerie
  • Données de localisation précises
  • Identifiants et mots de passe hachés
  • Informations provenant de plus de 3 600 téléphones infectés

N’importe qui pouvait télécharger ces données. Les victimes espionnées se sont retrouvées doublement exposées : d’abord par le stalkerware, ensuite par cette fuite massive.

La découverte a déclenché l’enquête de la FTC, aboutissant en 2021 à une sanction historique : interdiction à vie pour Zuckerman, obligation de détruire toutes les données collectées et mise en place de mesures de cybersécurité strictes pour toute future activité commerciale.

Tentative de contournement et nouvelle violation en 2022

Moins d’un an après la sanction, des journalistes ont révélé que Zuckerman semblait impliqué dans une nouvelle application de stalkerware : SpyTrac. Une fuite de données de cette application a montré des liens directs avec d’anciens développeurs de Support King et contenait même des données que Zuckerman était censé avoir supprimées.

Ces éléments ont renforcé la conviction des autorités que l’entrepreneur n’avait pas tiré les leçons de ses erreurs passées.

M. Zuckerman espérait visiblement qu’en restant discret quelques années, tout le monde oublierait les raisons pour lesquelles la FTC avait prononcé une interdiction non seulement contre l’entreprise, mais contre lui personnellement.

Eva Galperin, directrice cybersécurité à l’Electronic Frontier Foundation

Eva Galperin, figure incontournable de la lutte contre les stalkerwares, a salué la fermeté de la FTC. Selon elle, les révélations de 2022 prouvent que Zuckerman “n’a pas appris sa leçon”.

Un problème récurrent dans l’industrie du stalkerware

Le cas SpyFone n’est malheureusement pas isolé. Depuis 2017, au moins 26 entreprises de stalkerware ont subi des breaches ou laissé des données sensibles exposées. Ce chiffre, compilé par des journalistes spécialisés, illustre un manque criant de maturité sécuritaire dans tout le secteur.

Ces incidents répétés montrent que les entreprises qui commercialisent des outils d’espionnage sont souvent les moins capables de protéger les données qu’elles collectent. Ironie tragique : celles qui vendent la surveillance sont elles-mêmes incapables de sécuriser leurs infrastructures.

AnnéeEntrepriseType d’incident
2018SpyFoneBucket S3 exposé
2020FlexiSpyBase de données non protégée
2021TheTruthSpyFuite massive de logs
2022SpyTracDonnées clients exposées
2023-2025DiversPlusieurs incidents similaires

Ce tableau (non exhaustif) montre la récurrence du problème. Chaque incident expose non seulement les clients payants, mais surtout les victimes espionnées.

Pourquoi cette décision de la FTC est-elle historique ?

La sanction contre Zuckerman est l’une des plus sévères jamais prononcées par la FTC dans le domaine de la privacy. En visant personnellement le fondateur et non seulement l’entreprise, l’agence envoie un message fort : les dirigeants sont responsables des pratiques de leur société.

Cette approche “nom et honte” vise à dissuader d’autres entrepreneurs de se lancer dans ce marché gris. Elle montre aussi que les autorités suivent les contrevenants sur le long terme et ne se laissent pas attendrir par des arguments financiers.

  • Interdiction à vie d’exercer dans la surveillance
  • Obligation de destruction des données illégalement collectées
  • Audits réguliers et mesures de sécurité renforcées
  • Refus catégorique de toute modification en 2025

Ces mesures combinées forment un précédent solide pour les futures affaires de stalkerware.

Les implications pour les startups de la surveillance

Ce cas soulève des questions cruciales pour toute startup évoluant dans le domaine de la sécurité ou de la surveillance. Peut-on commercialiser des outils puissants sans mettre en place une sécurité irréprochable ? La réponse semble être non.

Les jeunes entreprises qui développent des solutions de monitoring (même légitimes, comme le contrôle parental) doivent désormais intégrer la conformité réglementaire dès la conception. Le principe de privacy by design n’est plus une option.

De plus, les investisseurs deviennent plus prudents. Financer une startup dans un domaine à risque éthique et juridique expose à des sanctions personnelles, comme l’a appris Zuckerman à ses dépens.

Comment se protéger contre les stalkerwares ?

Si la régulation progresse, la vigilance individuelle reste essentielle. Voici quelques conseils pratiques :

  • Vérifiez régulièrement les applications installées et désinstallez celles que vous ne reconnaissez pas
  • Activez les mises à jour automatiques de votre système d’exploitation
  • Utilisez un antivirus réputé capable de détecter les stalkerwares
  • Changez régulièrement vos mots de passe et activez l’authentification à deux facteurs
  • Soyez attentif aux performances inhabituelles de votre téléphone (batterie qui se vide vite, données mobiles élevées)
  • En cas de doute, consultez des associations spécialisées comme la Coalition Against Stalkerware

La prévention reste la meilleure défense. Une simple vérification peut éviter des mois de violation de privacy.

Vers une régulation plus stricte du marché de la surveillance ?

La fermeté de la FTC pourrait inspirer d’autres pays. En Europe, le RGPD offre déjà un cadre strict, mais les stalkerwares opèrent souvent dans des zones grises. Des ONG appellent à une interdiction pure et simple de la commercialisation de ces outils auprès du grand public.

Par ailleurs, les plateformes comme Google et Apple renforcent leurs politiques. Google a ainsi banni les applications de stalkerware de son Play Store dès 2020, suivi par Apple. Ces mesures techniques complètent l’action réglementaire.

Le paysage évolue rapidement. Les entrepreneurs qui souhaitent innover dans la sécurité devront prouver que leurs outils respectent les droits fondamentaux plutôt que de les contourner.

Conclusion : une victoire pour la privacy numérique

La décision de la FTC de maintenir l’interdiction contre Scott Zuckerman n’est pas seulement une sanction individuelle. C’est un signal fort envoyé à toute une industrie. Elle rappelle que la privacy n’est pas négociable et que les abus seront punis durablement.

Dans un monde où nos données personnelles sont devenues une monnaie d’échange, de telles décisions redonnent confiance. Elles montrent que les institutions peuvent agir pour protéger les citoyens contre les dérives technologiques.

Espérons que ce précédent encouragera d’autres régulateurs à suivre le même chemin. Car tant que des outils d’espionnage seront accessibles au grand public, le risque restera présent. La vigilance collective, alliée à une régulation ferme, est la clé pour un numérique plus respectueux de nos libertés.

avatar d’auteur/autrice
Steven Soarez
Passionné et dévoué, j'explore sans cesse les nouvelles frontières de l'information et de la technologie. Pour explorer les options de sponsoring, contactez-nous.
Voir la biographie complète

Tags:

, , , ,