Comment les autorités peuvent-elles endiguer une industrie aussi opaque que celle du stalkerware, lorsqu’un de ses acteurs principaux cherche à revenir sur le devant de la scène, malgré une interdiction formelle ? Difficile de ne pas s’interroger à la lumière des efforts récents de Scott Zuckerman, fondateur de Support King, pour réintégrer le marché de la surveillance numérique. Mais pourquoi l’affaire Zuckerman fait-elle autant de bruit ? Et surtout, le risque pour la vie privée est-il enfin pris au sérieux ?
Rappelons les faits : après qu’une fuite de données magistrale a exposé les utilisateurs de ses applications — mais aussi leurs “proies” — la Federal Trade Commission (FTC) des États-Unis a interdit en 2021 à Zuckerman toute activité dans le secteur. Cette décision, inédite par sa fermeté, exigeait aussi la suppression de toutes les données collectées et prévoyait des audits récurrents. Zuckerman, tentant de se faire passer aujourd’hui pour un entrepreneur réhabilité, a demandé l’annulation de cette sanction, arguant que les exigences de sécurité pesaient désormais sur ses autres activités, comme la gestion d’un restaurant à Porto Rico. S’agit-il d’une véritable reconversion ou d’une simple manœuvre de communication ?
La FTC, imperturbable, vient de rejeter sa demande, rappelant la gravité des faits : la fuite de données de SpyFone avait laissé en ligne des informations sensibles — photos, messages, localisations, mots de passe hachés — accessibles à n’importe quel hacker. Selon l’expert à l’origine de la découverte, 44 109 adresses mails étaient concernées, sans compter des milliers de photos privées et d’extraits audio récupérés sur près de 3 700 téléphones infectés. Peut-on dès lors pardonner si vite à un dirigeant ayant mis tant de vies en danger ?
La récidive en cyber-surveillance met en doute l’efficacité des sanctions et la capacité des autorités à protéger la vie privée.
Autre fait troublant : à peine un an après sa radiation, des journalistes de TechCrunch ont découvert en 2022 que Zuckerman semblait, de façon à peine voilée, être impliqué dans une nouvelle entreprise de stalkerware, via l’app SpyTrac. Les fuites de données, à nouveau massives, permettaient d’établir des liens directs entre les développeurs de SpyTrac et ceux de Support King, suggérant un contournement actif de l’interdiction. Qui protège les victimes lorsque de telles pratiques persistent dans l’ombre ?
Pour Eva Galperin, spécialiste reconnue du stalkerware à l’Electronic Frontier Foundation, il ne fait aucun doute que la fermeté de la FTC s’imposait : « M. Zuckerman espérait clairement que, passé sous le radar quelques années, on oublierait les raisons profondes de l’interdiction. » Mais qu’en est-il vraiment de la dissuasion ? Pas moins de 26 sociétés de stalkerware ont vu leurs données piratées ou exposées ces huit dernières années, selon les chiffres de TechCrunch. De quoi laisser sceptique sur la capacité de l’écosystème à se réformer.
La facilité avec laquelle ces applications permettent d’espionner à l’insu, souvent des proches, et la récurrence des failles de sécurité, exposent à la fois les “clients” du stalkerware et surtout leurs victimes. Alors que la multiplication des fuites jette une lumière crue sur un secteur fondé sur la discrétion et la clandestinité, faut-il s’attendre enfin à une législation globale et réellement dissuasive ?
En définitive, la question demeure : le cas Zuckerman est-il l’exception ou le symptôme d’une industrie toujours incontrôlable, malgré les efforts croissants des régulateurs ?
Source : Techcrunch
