Il existe toute une industrie louche pour les gens qui veulent surveiller et espionner leur famille. De nombreux créateurs d’applications font la promotion de leurs logiciels (souvent appelés stalkerware) auprès de partenaires jaloux qui peuvent utiliser ces applications pour accéder à distance aux téléphones de leurs victimes.
Pourtant, malgré le caractère sensible de ces données personnelles, un nombre croissant d’entreprises en perdent d’énormes quantités.
Selon le décompte en cours de TechCrunch, y compris la fuite de données la plus récente impliquant uMobix, depuis 2017, au moins 27 sociétés de logiciels de harcèlement ont été piratées ou ont divulgué en ligne les données de leurs clients et de leurs victimes.
Ce n’est pas une faute de frappe. Des dizaines d’entreprises de logiciels de traque ont été piratées ou ont subi une exposition importante de leurs données ces dernières années. Et au moins quatre sociétés de logiciels de harcèlement ont été piratées à plusieurs reprises.
Les créateurs d’uMobix et des applications de suivi mobile associées, comme Geofinder et Peekviewer, sont les derniers fournisseurs de logiciels de traque à exposer les données sensibles des clients, après qu’un hacktiviste ait récupéré les informations de paiement de plus de 500 000 clients et les ait publiées en ligne. L’hacktiviste a déclaré avoir agi ainsi pour s’attaquer aux applications de stalkerware, suivant les traces de deux groupes d’hacktivistes qui ont fait irruption dans Retina-X et FlexiSpy il y a près de dix ans.
La fuite de données uMobix intervient après la violation de Catwatchful l’année dernière, qui a été utilisée pour compromettre les données téléphoniques d’au moins 26 000 victimes. Catwatchful n’était que l’un des nombreux incidents de stalkerware survenus en 2025, qui incluaient SpyX et l’exposition des données des opérations de surveillance Cocospy, Spyic et Spyzie, qui ont laissé des messages, des photos, des journaux d’appels et d’autres données personnelles et sensibles de millions de victimes exposées en ligne, selon un chercheur en sécurité qui a trouvé un bug leur permettant d’accéder à ces données.
Avant 2025, il y a eu au moins quatre piratages massifs de logiciels de harcèlement en 2024.
La dernière violation de stalkerware en 2024 a touché Spytech, un fabricant de logiciels espions peu connu basé dans le Minnesota, qui a exposé les journaux d’activité des téléphones, tablettes et ordinateurs surveillés avec ses logiciels espions. Avant cela, il y avait eu une faille chez mSpy, l’une des applications de stalkerware les plus anciennes, qui avait exposé des millions de tickets d’assistance client, comprenant les données personnelles de millions de ses clients.
Auparavant, un pirate informatique inconnu s’était introduit dans les serveurs du fabricant américain de logiciels de traque pcTattletale. Le pirate informatique a ensuite volé et divulgué les données internes de l’entreprise. Ils ont également dégradé le site officiel de pcTattletale dans le but d’embarrasser l’entreprise. Le pirate informatique a fait référence à un article récent de TechCrunch dans lequel nous rapportions que pcTattletale était utilisé pour surveiller plusieurs ordinateurs d’enregistrement à la réception d’une chaîne d’hôtels américaine.
À la suite de cette opération de piratage, de fuite et de honte, le fondateur de pcTattletale, Bryan Fleming, a déclaré qu’il fermait son entreprise. Plus tôt cette année, Fleming a plaidé coupable à des accusations de piratage informatique, de vente et de publicité de logiciels de surveillance à des fins d’utilisation illégale et de complot.
Les applications de logiciels espions grand public comme uMobix, Catwatchful, SpyX, Cocospy, mSpy et pcTattletale sont communément appelées « stalkerware » (ou Wifeware) car les conjoints et partenaires jaloux les utilisent pour surveiller et surveiller subrepticement leurs proches.
Ces entreprises commercialisent souvent explicitement leurs produits comme des solutions pour attraper les partenaires infidèles en encourageant les comportements illégaux et contraires à l’éthique. De nombreuses affaires judiciaires, enquêtes médiatiques et enquêtes sur les refuges pour victimes de violence conjugale ont montré que le harcèlement et la surveillance en ligne peuvent conduire à des cas de préjudice et de violence dans le monde réel.
C’est en partie pourquoi les pirates informatiques ont ciblé à plusieurs reprises certaines de ces entreprises.
Eva Galperin, directrice de la cybersécurité à l’Electronic Frontier Foundation et chercheuse et activiste de premier plan qui enquête et combat les logiciels de harcèlement depuis des années, a déclaré que l’industrie des logiciels de harcèlement est une « cible facile ».
« Les gens qui dirigent ces entreprises ne sont peut-être pas les plus scrupuleux ou vraiment préoccupés par la qualité de leurs produits », a déclaré Galperin à TechCrunch.
Compte tenu de l’histoire des compromissions de logiciels de traque, c’est peut-être un euphémisme. Et en raison du manque de soin apporté à la protection de leurs propres clients – et par conséquent des données personnelles de dizaines de milliers de victimes involontaires – l’utilisation de ces applications est doublement irresponsable. Les clients du stalkerware peuvent enfreindre la loi, abuser de leurs partenaires en les espionnant illégalement et, en plus de cela, mettre les données de chacun en danger.
Une histoire de hackers de stalkerware
La vague de violations de logiciels de traque a commencé en 2017 lorsqu’un groupe de pirates informatiques a piraté consécutivement Retina-X, basé aux États-Unis, et FlexiSpy, basé en Thaïlande. Ces deux piratages ont révélé que les entreprises comptaient au total 130 000 clients dans le monde entier.
À l’époque, les pirates informatiques qui ont revendiqué – fièrement – la responsabilité des compromissions ont explicitement déclaré que leurs motivations étaient de dénoncer et, espérons-le, de contribuer à détruire une industrie qu’ils considèrent comme toxique et contraire à l’éthique.
« Je vais les réduire en cendres et ne laisser aucun endroit où se cacher », a alors déclaré l’un des pirates informatiques impliqués dans la carte mère.
Faisant référence à FlexiSpy, le hacker a ajouté : « J’espère qu’ils s’effondreront et échoueront en tant qu’entreprise, et qu’ils auront le temps de réfléchir à ce qu’ils ont fait. Cependant, j’ai peur qu’ils essaient de se donner naissance à nouveau sous une nouvelle forme. Mais s’ils le font, je serai là. »
Malgré le piratage et des années d’attention négative du public, FlexiSpy est toujours actif aujourd’hui. On ne peut pas en dire autant de Retina-X.
Le pirate informatique qui s’est introduit dans Retina-X a effacé ses serveurs dans le but d’entraver ses opérations. L’entreprise a rebondi, puis a été à nouveau piratée un an plus tard. Quelques semaines après la deuxième faille, Retina-X a annoncé sa fermeture.
Quelques jours seulement après la deuxième violation de Retina-X, des pirates ont attaqué Mobistealth et Spy Master Pro, volant des gigaoctets de dossiers clients et professionnels, ainsi que les messages interceptés et les emplacements GPS précis des victimes. Un autre fournisseur de logiciels de traque, SpyHuman, basé en Inde, a connu le même sort quelques mois plus tard, avec des pirates informatiques volant des messages texte et des métadonnées d’appel, qui contenaient des journaux indiquant qui appelait qui et quand.
Quelques semaines plus tard, il y a eu le premier cas d’exposition accidentelle de données, plutôt qu’un piratage.
SpyFone a laissé un compartiment de stockage S3 hébergé par Amazon non protégé en ligne, ce qui signifie que n’importe qui pouvait afficher et télécharger des messages texte, des photos, des enregistrements audio, des contacts, des données de localisation, des mots de passe brouillés et des informations de connexion, des messages Facebook, etc. Toutes ces données ont été volées aux victimes, dont la plupart ne savaient pas qu’elles étaient espionnées, et encore moins que leurs données personnelles les plus sensibles se trouvaient également sur Internet, à la vue de tous.
Outre uMobix, d’autres sociétés de logiciels de harcèlement qui, au fil des années, ont laissé de manière irresponsable les données de leurs clients et victimes en ligne comprennent : FamilyOrbit, qui a laissé 281 Go de données personnelles en ligne protégées uniquement par un mot de passe facile à trouver ; mSpy, qui a divulgué plus de 2 millions de dossiers clients en 2018 ; Xnore, qui permet à n’importe lequel de ses clients de consulter les données personnelles des cibles d’autres clients, notamment les messages de chat, les coordonnées GPS, les e-mails, les photos, etc. ; et MobiiSpy, qui laisse 25 000 enregistrements audio et 95 000 images sur un serveur accessible à tous.
La liste est longue : KidsGuard en 2020 avait un serveur mal configuré qui divulguait le contenu des victimes ; pcTattletale, qui, avant son piratage de 2024, a également exposé des captures d’écran des appareils des victimes téléchargées en temps réel sur un site Web accessible à tous ; et Xnspy, dont les développeurs ont laissé des informations d’identification et des clés privées dans le code des applications, permettant à quiconque d’accéder aux données des victimes ; Spyzie, Cocospy et Spyic, qui ont laissé les messages, photos, journaux d’appels et autres données personnelles des victimes, ainsi que les adresses e-mail des clients, exposés en ligne ; et Catwatchful, qui a exposé la base de données complète des adresses e-mail et des mots de passe en clair des clients.
En ce qui concerne les autres sociétés de logiciels de traque qui ont été piratées, outre SpyX plus tôt en 2025, il y a eu Copy9, qui a vu un pirate informatique voler les données de toutes ses cibles de surveillance, y compris les messages texte et les messages WhatsApp, les enregistrements d’appels, les photos, les contacts et l’historique du navigateur ; LetMeSpy, qui s’est arrêté après que des pirates ont violé et effacé ses serveurs ; et WebDetetive, basé au Brésil, dont les serveurs ont également été supprimés, puis à nouveau piratés.
Il y avait aussi OwnSpy, qui fournit une grande partie du logiciel back-end pour WebDetetive, qui a été piraté ; Spyhide, qui présentait une vulnérabilité dans son code permettant à un pirate informatique d’accéder aux bases de données principales et à des années de vol des données d’environ 60 000 victimes ; Oospy, qui était une nouvelle marque de Spyhide, a fermé ses portes une seconde fois ; et encore mSpy. Enfin, il y a TheTruthSpy, un réseau d’applications de stalkerware, qui détient le record douteux d’avoir été piraté ou d’avoir divulgué des données à au moins trois occasions distinctes.
Piraté, mais impénitent
Sur ces 27 sociétés de logiciels de traque, huit ont fermé leurs portes, selon le décompte de TechCrunch.
Dans un premier cas, jusqu’à présent unique, la Federal Trade Commission a interdit à SpyFone et à son directeur général, Scott Zuckerman, d’opérer dans le secteur de la surveillance à la suite d’une faille de sécurité antérieure qui avait exposé les données des victimes. Une autre opération liée appelée SpyTrac s’est arrêtée à la suite d’une enquête TechCrunch. L’année dernière, la FTC a maintenu son interdiction contre Zuckerman.
PhoneSpector et Highster, deux applications de stalkerware qui n’ont pas été piratées, ont également été fermées après que le procureur général de New York a accusé les entreprises d’encourager explicitement les clients à utiliser leur logiciel à des fins de surveillance illégale.
Mais la fermeture d’une entreprise ne signifie pas qu’elle disparaît pour toujours. Comme pour Spyhide et SpyFone, certains des mêmes propriétaires et développeurs derrière un fabricant de stalkerware fermé ont simplement changé de nom.
« Je pense que ces hacks font des choses. Ils accomplissent des choses, ils y mettent des bâtons dans les roues », a déclaré Galperin. « Mais si vous pensez que si vous piratez une entreprise de logiciels de harcèlement, ils se contenteront de serrer les poings, de maudir votre nom, de disparaître dans un nuage de fumée bleue et de ne plus jamais être revus, cela n’a certainement pas été le cas. »
« Ce qui arrive le plus souvent, lorsque vous parvenez à tuer une entreprise de logiciels de harcèlement, c’est que cette entreprise de logiciels de harcèlement surgit comme des champignons après la pluie », a ajouté Galperin.
Il y a de bonnes nouvelles. Dans un rapport de 2023, la société de sécurité Malwarebytes a déclaré que l’utilisation de logiciels de harcèlement est en baisse, selon ses propres données sur les clients infectés par ce type de logiciel. En outre, Galperin rapporte avoir constaté une augmentation des avis négatifs sur ces applications, des clients ou des clients potentiels se plaignant qu’elles ne fonctionnent pas comme prévu.
Mais Galperin a déclaré qu’il est possible que les entreprises de sécurité ne soient plus aussi douées pour détecter les logiciels de harcèlement qu’avant, ou que les harceleurs soient passés d’une surveillance logicielle à une surveillance physique activée par les AirTags et d’autres trackers compatibles Bluetooth.
« Les stalkerwares n’existent pas en vase clos. Les stalkerwares font partie de tout un monde d’abus technologiques », a déclaré Galperin.
Dites non aux logiciels de harcèlement
Utiliser des logiciels espions pour surveiller vos proches est non seulement contraire à l’éthique, mais également illégal dans la plupart des juridictions, car cela est considéré comme une surveillance illégale.
C’est déjà une bonne raison de ne pas utiliser de stalkerware. Ensuite, il y a le problème que les fabricants de logiciels de traque ont prouvé à maintes reprises qu’ils ne peuvent pas sécuriser les données – ni les données appartenant aux clients, ni à leurs victimes ou cibles.
En plus d’espionner les partenaires amoureux et les conjoints, certaines personnes utilisent des applications de stalkerware pour surveiller leurs enfants. Bien que ce type d’utilisation, du moins aux États-Unis, soit légal, cela ne signifie pas que l’utilisation d’un logiciel de traque pour espionner le téléphone de vos enfants n’est pas effrayante et contraire à l’éthique.
Même si cela est utilisé de manière licite, Galperin pense que les parents ne devraient pas espionner leurs enfants sans le leur dire et sans leur consentement.
Si les parents informent leurs enfants et obtiennent leur feu vert, ils doivent rester à l’écart des applications de stalkerware non sécurisées et peu fiables, et utiliser les outils de suivi parental intégrés aux téléphones et tablettes Apple et aux appareils Android qui sont plus sûrs et fonctionnent ouvertement.
Récapitulatif des brèches et fuites
Voici la liste complète des sociétés de logiciels de harcèlement qui ont été piratées ou qui ont divulgué des données sensibles depuis 2017, par ordre chronologique :
Publié pour la première fois le 16 juillet 2024 et mis à jour pour inclure uMobix comme dernière application de stalkerware présentant un problème de sécurité.
Si vous ou quelqu’un que vous connaissez avez besoin d’aide, la ligne d’assistance nationale contre la violence domestique (1-800-799-7233) fournit une assistance gratuite et confidentielle 24h/24 et 7j/7 aux victimes de violence domestique et de violence. Si vous êtes dans une situation d’urgence, appelez le 911. La Coalition Against Stalkerware dispose de ressources si vous pensez que votre téléphone a été compromis par un logiciel espion.

