← Retour au blog
guide associations terrain

Guide pratique : détecter les stalkerwares dans un cadre associatif

Publié le 10 mars 2026

Pourquoi ce guide existe

En 2018, le Centre Hubertine Auclert publie la première étude française sur les cyberviolences conjugales. Menée auprès de 302 femmes victimes de violences conjugales et 73 professionnel·les en Île-de-France, cette étude révèle un chiffre que personne n’attendait : 9 femmes sur 10 victimes de violences conjugales subissent des cyberviolences de la part de leur partenaire.

Parmi elles, 21 % déclarent que leur partenaire a installé un logiciel espion sur leur téléphone et 29 % se sentent surveillées dans leurs déplacements via un traceur GPS ou un logiciel.

Source : Centre Hubertine Auclert, Rapport sur les cyberviolences conjugales, 2018, p. 42-55

Malgré ces chiffres, la plupart des professionnel·les de terrain n’ont aucun outil pour vérifier si un téléphone est compromis. Ce guide explique comment utiliser PHARE dans un cadre d’accompagnement — et surtout comment ne pas mettre la victime en danger en le faisant.

Quand proposer une analyse

Les situations qui doivent alerter

PHARE est pertinent dans toute situation où une personne accompagnée exprime des craintes sur la surveillance de son téléphone. Les signaux les plus fréquents :

Comportements du partenaire (rapportés par la victime) :

  • Il sait des choses qu’il ne devrait pas savoir (conversations privées, lieux visités, personnes rencontrées)
  • Il cite des messages qu’elle a écrits ou reçus
  • Il connaît ses déplacements en détail — sans qu’elle les ait communiqués
  • Il apparaît de manière « spontanée » dans des lieux où elle se rend

Signes techniques sur le téléphone :

  • Batterie qui se vide anormalement vite (le stalkerware transmet en permanence)
  • Consommation de données mobiles inexpliquée
  • Chaleur excessive du téléphone au repos
  • Applications inconnues dans les paramètres (souvent avec des noms anodins : « System Service », « Sync Manager »)
  • Téléphone qui se réveille seul, LED qui s’allume sans notification

Contexte relationnel :

  • La personne a quitté ou envisage de quitter une relation violente
  • Elle a laissé son téléphone sans surveillance en présence du partenaire
  • Le partenaire a un accès régulier au téléphone (connaît le code, empreinte enregistrée)
  • Elle a changé de téléphone mais constate les mêmes comportements (surveillance via le compte cloud, pas l’appareil)

L’enquête Norton Cyber Safety Insights 2021 (10 000 adultes dans 10 pays dont la France) révèle que 8 % des personnes interrogées admettent avoir utilisé une application pour surveiller un partenaire actuel ou passé. Ce chiffre indique que la surveillance numérique n’est pas un phénomène marginal.

Avant l’analyse : préparer et sécuriser

La règle absolue : ne jamais mettre la victime en danger

La détection d’un stalkerware est un acte potentiellement dangereux. Si l’agresseur est alerté — par la suppression du logiciel, par un changement de comportement de la victime, ou simplement par l’interruption du flux de données — il peut réagir violemment.

La Coalition Against Stalkerware — fondée en 2019 par l’EFF, Kaspersky, et des associations comme le NNEDV — énonce un principe fondamental : ne jamais supprimer un stalkerware sans plan de sécurité préalable.

L’espace physique

  • L’analyse doit être effectuée dans un espace sécurisé : bureau fermé, pièce isolée — jamais dans un espace d’accueil ouvert
  • L’auteur présumé ne doit pas être présent ni à portée de regard
  • Si le téléphone est surveillé, le simple fait de se rendre dans une association peut être visible par l’agresseur (géolocalisation en temps réel). Prenez en compte ce risque dans la prise de rendez-vous
  • Certains stalkerwares permettent l’écoute ambiante (activation du micro à distance) — gardez ce risque à l’esprit si vous discutez de la démarche à proximité du téléphone

L’information à la personne

Avant de brancher le téléphone, expliquez clairement :

Ce que PHARE fait :

  • Il compare les applications installées à une base de 7 000+ indicateurs de logiciels espions connus (stalkerwares commerciaux + spywares étatiques)
  • Il analyse le trafic réseau sortant du téléphone pour détecter des connexions vers des serveurs de surveillance connus
  • Sur iPhone : il inspecte les profils de configuration, certificats racine, mode développeur, appareils appairés et rapports de crash
  • L’analyse complète dure 3 à 5 minutes (USB seul) ou 8 à 10 minutes (avec analyse réseau)

Ce que PHARE ne fait pas :

  • Il ne supprime rien et ne modifie rien sur le téléphone
  • Il n’accède pas au contenu des messages, photos ou fichiers personnels
  • Il n’envoie aucune donnée à l’extérieur — l’analyse est 100 % locale
  • Il ne détecte pas la surveillance via les comptes cloud (iCloud, Google) — uniquement les logiciels installés sur l’appareil

La confidentialité :

  • Le rapport PDF est généré localement sur la borne. Il peut être imprimé ou envoyé par email
  • La mémoire est intégralement effacée après l’analyse (ramdisk tmpfs, effacement sécurisé par écrasement)
  • Aucun log ne contient de données nominatives — ni nom, ni numéro de téléphone, ni email, ni modèle d’appareil
  • Le code peut être audité par un tiers de confiance sur demande

Le consentement :

  • Un formulaire RGPD s’affiche sur l’écran tactile. La personne doit cocher trois cases et valider avant que l’analyse ne commence
  • Le consentement est enregistré sous forme de hash cryptographique (SHA-256) — il est impossible de remonter aux informations d’origine

Pendant l’analyse : accompagner la personne

L’analyse PHARE se déroule en quatre écrans successifs :

Écran 1 — Connexion et consentement

La personne connecte son téléphone via USB. L’écran affiche les instructions adaptées à la marque (Samsung, Xiaomi, Huawei, Google, iPhone) — chaque constructeur a un processus différent pour autoriser le débogage USB.

Point d’attention Android : le débogage USB doit être activé dans les options développeur. Les instructions sont affichées étape par étape sur l’écran, avec des visuels. Si la personne ne souhaite pas activer le débogage, l’analyse réseau seule reste possible (mais moins complète).

Point d’attention iPhone : iOS demande de « faire confiance à cet ordinateur ». Si l’iPhone se déconnecte pendant cette étape (Trust timeout iOS — le téléphone coupe la connexion USB après ~2 minutes si non validé), PHARE attend automatiquement 30 secondes pour la reconnexion. Rassurez la personne : c’est un comportement normal.

Écran 2 — Analyse en cours

L’écran affiche la progression en temps réel : étapes complétées, étape en cours, durée estimée. Si l’analyse réseau est activée, un visualiseur de trafic montre en direct les connexions sortantes du téléphone — les domaines contactés, les volumes de données.

L’analyse combine jusqu’à 8 vérifications sur iPhone (applications, profils MDM, jailbreak, certificats racine, supervision, appareils appairés, mode développeur, rapports de crash) et 3 sur Android (applications via MVT, analyse réseau Suricata, permissions).

Écran 3 — Résultats et verdict

Le verdict s’affiche en couleur avec un pictogramme explicite. Vous trouverez ci-dessous comment interpréter chaque résultat.

Lire et interpréter les résultats

Verdict vert — Aucune menace détectée

Ce que ça signifie : aucun indicateur de compromission n’a été trouvé parmi les 7 000+ indicateurs connus (172 familles de stalkerwares, spywares étatiques Pegasus/Predator/Candiru, et indicateurs Amnesty Tech).

Ce que ça ne signifie pas : que le téléphone est sûr à 100 %. Un logiciel très récent, un outil sur mesure, ou une surveillance via les comptes cloud (iCloud, Google) ne seraient pas détectés. Comme le précisent les mainteneurs de la base ECHAP : « These indicators are not providing complete detection of stalkerware applications, as they are based on research from a few people on their free time and many apps are likely missing. »

Que dire à la personne :

« L’analyse n’a détecté aucun logiciel espion connu sur votre téléphone. C’est une bonne nouvelle, mais cela ne garantit pas l’absence totale de surveillance — notamment via les comptes en ligne (iCloud, Google, Samsung Cloud). Si vos craintes persistent, nous pouvons vérifier ensemble les paramètres de partage de localisation et les connexions actives à vos comptes. »

Actions recommandées :

Verdict bleu — Éléments informatifs

Ce que ça signifie : des éléments non dangereux mais méritant attention ont été trouvés. Par exemple : une Apple Watch appairée (qui peut recevoir des notifications), des applications avec des permissions étendues (accès notifications, localisation permanente), un mode développeur activé.

Que dire à la personne :

« L’analyse n’a pas détecté de logiciel espion, mais certains éléments méritent votre attention. [Détaillez les éléments du rapport.] Ce ne sont pas des menaces en soi, mais il est bon d’en avoir conscience. »

Verdict orange — Éléments suspects

Ce que ça signifie : des applications ou comportements réseau correspondent partiellement à des indicateurs connus. Ce n’est pas une confirmation — mais ce n’est pas anodin non plus.

Que dire à la personne :

« L’analyse a détecté des éléments qui méritent un examen plus approfondi. Ce n’est pas une confirmation de surveillance, mais nous vous recommandons de consulter un spécialiste. »

Actions recommandées :

  • Conserver le rapport PDF comme pièce justificative
  • Contacter ECHAP (contact@echap.eu.org) pour un avis technique complémentaire
  • Ne pas supprimer les applications suspectes sans avis professionnel
  • Si la personne est en danger, contacter le 3919 ou le 17

Verdict rouge — Stalkerware confirmé

Ce que ça signifie : un logiciel espion connu a été formellement identifié sur le téléphone. Le rapport détaille le nom de l’application, la famille à laquelle elle appartient (mSpy, FlexiSpy, Cerberus, etc.), ses capacités (localisation, messages, micro, caméra…) et des conseils de désinstallation.

C’est le moment le plus critique de l’accompagnement. La Coalition Against Stalkerware et les professionnel·les du terrain (NNEDV Safety Net, ECHAP) s’accordent sur un protocole clair :

1. Ne PAS supprimer le logiciel immédiatement

Supprimer le stalkerware peut :

  • Alerter l’agresseur que la victime sait qu’elle est surveillée
  • Provoquer une escalade de violence — la recherche criminologique identifie la perte de contrôle comme un facteur majeur de passage à l’acte violent (Campbell et al., Danger Assessment, 2003)
  • Détruire des preuves numériques nécessaires à une plainte

2. Sauvegarder le rapport PDF

Le rapport PHARE est conçu pour être utilisable comme élément de preuve. Il documente :

  • L’identification précise du logiciel (nom, package Android, certificat)
  • Les capacités du logiciel (ce qu’il peut surveiller)
  • La date et l’heure de la détection
  • Le hash de consentement RGPD

Des initiatives similaires existent déjà dans le cadre judiciaire : le dispositif Vériphone/Deloge déployé au tribunal de Paris depuis juillet 2022 produit des rapports utilisés comme éléments de preuve dans les procédures.

3. Élaborer un plan de sécurité avec la personne

Avant toute action sur le téléphone :

  • Évaluer le niveau de danger immédiat
  • Déterminer si la personne souhaite déposer plainte (le rapport étaye la plainte)
  • Planifier un éventuel changement de téléphone ou réinitialisation après la mise en sécurité
  • Identifier un moyen de communication sûr (téléphone prêté, messagerie chiffrée sur un autre appareil)

4. Accompagner vers les ressources spécialisées

  • ECHAP : accompagnement numérique sécurisé, conseils de désinstallation
  • 3919 : écoute, orientation, mise en sécurité (gratuit, anonyme, 24h/24)
  • Police/gendarmerie : dépôt de plainte. La surveillance numérique d’un conjoint est un délit pénal depuis la loi du 30 juillet 2020, puni de 2 ans d’emprisonnement et 60 000 € d’amende (article 226-1 du Code pénal, circonstance aggravante conjugale)
  • CIDFF le plus proche : accompagnement juridique gratuit

Garanties de confidentialité pour votre structure

PHARE a été conçu pour respecter les obligations déontologiques des professionnel·les de l’accompagnement, notamment le secret professionnel des travailleurs sociaux (article L411-3 du CASF) et des avocats.

Aucune trace exploitable

DonnéeStockée ?Détail
Nom de la personneNonJamais demandé, jamais enregistré
Numéro de téléphoneNonNon accessible par l’analyse
Adresse emailNonSaisie uniquement si la personne demande l’envoi du PDF par email — non journalisée
Modèle de téléphoneNonSupprimé des logs
Contenu des messages/photosNonPHARE ne lit pas le contenu — il compare les applications installées à une base d’indicateurs
Rapport PDFNonGénéré en mémoire, remis à la personne, purgé de la borne
Hash de consentementOui (SHA-256)Irréversible — impossible de remonter aux informations d’origine

Protections techniques

  • Ramdisk tmpfs : toutes les données d’analyse sont en mémoire vive. Rien n’est écrit sur le disque dur
  • Effacement sécurisé : chaque fichier est écrasé avec des zéros avant suppression
  • Disque chiffré LUKS2 : le stockage permanent (système, code PHARE) est chiffré avec déverrouillage TPM
  • Watchdog d’intégrité : vérifie automatiquement que les données sont bien purgées après chaque scan. En cas d’anomalie, force le redémarrage
  • Conteneurs read-only : les services Docker fonctionnent avec des systèmes de fichiers en lecture seule
  • Pare-feu restrictif : le kiosque n’accepte aucune connexion entrante (sauf SSH admin) et en mode strict, ne communique qu’avec le serveur cloud de gestion (mTLS)
  • Audit de sécurité : auditd surveille les accès au Docker socket, aux fichiers de configuration et aux clés SSH
  • Mises à jour automatiques : correctifs de sécurité appliqués quotidiennement, redémarrage automatique à 4h du matin si nécessaire

Limites de PHARE — ce qu’il faut savoir

La transparence est essentielle dans un outil de détection. Voici ce que PHARE ne peut pas détecter :

LimiteExplicationAlternative
Stalkerwares inconnusUn logiciel très récent ou artisanal peut ne pas figurer dans la base de 7 000+ indicateursL’analyse réseau peut détecter des connexions suspectes même sans signature connue
Surveillance via les comptes cloudiCloud, Google, Samsung Cloud — le partenaire accède aux données via le compte, pas le téléphoneVérifier manuellement : Réglages → [votre nom] → appareils connectés
Partage de localisation natifGoogle Maps « Partager ma position », Localiser (Apple), Life360Vérifier dans les paramètres de chaque application
AirTag et trackers BluetoothTrackers physiques — pas un logiciel sur le téléphoneApple détecte les AirTag inconnus ; Android : Tracker Detect
Écoute ambiante hors logicielMicro espion physique, caméra cachéeHors périmètre — nécessite un balayage TSCM
Téléphone remplacé par l’agresseurL’agresseur a offert un téléphone pré-configuré avec surveillanceAnalyse PHARE le détectera si c’est un stalkerware connu

Rappelons aussi que l’absence de logiciel espion ne signifie pas l’absence de danger. La surveillance est un indicateur de contrôle coercitif, mais un partenaire violent peut représenter une menace sans recourir à la technologie. PHARE analyse le téléphone, pas la relation.

Foire aux questions

« Si le stalkerware voit tout, il va voir que la victime scanne son téléphone avec PHARE ? »

Non. L’analyse USB est effectuée par la borne — le stalkerware ne reçoit pas de notification que le téléphone est connecté à un ordinateur. L’analyse réseau utilise un réseau WiFi temporaire, distinct du réseau habituel du téléphone. Le stalkerware continue de fonctionner normalement pendant l’analyse.

Cependant, la géolocalisation reste active : si l’agresseur surveille les déplacements, il verra que la victime se trouve à l’adresse de votre structure. C’est un risque à évaluer en amont.

« Faut-il un informaticien pour faire tourner la borne ? »

Non. L’interface est entièrement guidée, en français, avec des instructions visuelles par marque de téléphone. Le déploiement initial est fait par notre équipe ou via un playbook Ansible automatisé. Une fois installée, la borne se met à jour automatiquement et ne nécessite aucune maintenance.

« Peut-on utiliser le rapport dans une procédure judiciaire ? »

Le rapport PHARE est un élément factuel documentant la présence d’un logiciel espion à une date et heure données. Il peut être versé au dossier comme pièce justificative. Pour une valeur probante maximale, privilégiez un constat d’huissier en complément. Le dispositif Vériphone du tribunal de Paris établit un précédent d’utilisation d’analyses de téléphone comme éléments de preuve.

« Et si la personne ne veut pas activer le débogage USB ? »

L’analyse réseau (WiFi) fonctionne sans aucune modification du téléphone. Elle est moins exhaustive que l’analyse complète mais peut détecter les communications du stalkerware avec son serveur. Sur iPhone, la connexion USB simple (sans débogage) permet déjà 8 vérifications.

« Le téléphone est-il modifié par l’analyse ? »

Non. PHARE fonctionne en lecture seule. Il n’installe rien, ne supprime rien, ne modifie aucun paramètre. L’acquisition Android passe par AndroidQF (extraction des métadonnées système) et l’analyse iOS passe par les services natifs Apple (InstallationProxy, MobileConfig). Le téléphone est rendu dans l’état exact où il a été branché.

Ressources pour les professionnel·les

Formations et guides

Contacts utiles

RessourceContactService
3919Appel gratuit, 24h/24Écoute, orientation, mise en sécurité
ECHAPechap.eu.orgAccompagnement numérique sécurisé
CIDFFTrouver le plus procheAccès au droit, accompagnement juridique
Solidarité Femmessolidaritefemmes.orgHébergement, accompagnement
Cybermalveillancecybermalveillance.gouv.frSignalement, assistance
CNILcnil.frPlainte données personnelles

Cadre juridique

Pour déployer PHARE dans votre structure, organiser une formation pour votre équipe, ou simplement poser vos questions, contactez-nous. Notre objectif est que chaque structure d’accompagnement en France puisse proposer une analyse de qualité.

← Retour au blog