Le problème : des outils puissants, inaccessibles
En juillet 2021, Amnesty International publie le Pegasus Project — l’une des plus grandes enquêtes journalistiques de la décennie. Plus de 80 journalistes de Forbidden Stories et 17 médias internationaux (Le Monde, The Guardian, The Washington Post, Die Zeit, Radio France…) révèlent que le logiciel espion Pegasus de NSO Group a ciblé plus de 50 000 numéros de téléphone dans 50 pays, dont des chefs d’État, des journalistes et des défenseurs des droits humains.
Pour cette enquête, le Security Lab d’Amnesty développe MVT (Mobile Verification Toolkit) — un outil forensique open source capable d’analyser un téléphone Android ou iOS et de détecter les traces de compromission. La méthodologie est validée par le Citizen Lab de l’Université de Toronto.
MVT est un outil remarquable. Mais il requiert un terminal en ligne de commande, des connaissances en forensique numérique, et une familiarité avec les formats STIX2 et les indicateurs de compromission. Comme le précise Amnesty elle-même : « MVT is a forensic research tool intended for technologists and investigators. »
En d’autres termes : MVT peut détecter Pegasus sur le téléphone d’un journaliste — mais il ne peut pas aider une travailleuse sociale à vérifier le téléphone d’une femme victime de violences conjugales dans une permanence du CIDFF.
L’écart entre la capacité technique et le besoin de terrain
Les outils de détection existent. Ils sont même open source et gratuits :
| Outil | Créé par | Fonction | Limite |
|---|---|---|---|
| MVT | Amnesty International Security Lab | Analyse forensique Android/iOS | Ligne de commande, expertise requise |
| SpyGuard | Félix Aimé (ex-Kaspersky) | Analyse trafic réseau WiFi | Raspberry Pi, configuration réseau |
| ISDi | Cornell Tech (CETA) | Scan USB d’applications suspectes | Prototype recherche, Android uniquement |
| PiRogue Tool Suite | Defensive Lab Agency | Forensique mobile + réseau | Infrastructure complète requise |
Chacun de ces projets apporte une pièce du puzzle. Mais aucun ne résout le problème fondamental : comment mettre la détection de stalkerwares entre les mains des 2 400 permanences CIDFF, des 67 associations Solidarité Femmes, et des centaines de structures d’hébergement et d’accompagnement en France ?
C’est ce vide que PHARE cherche à combler.
Ce qu’est PHARE
PHARE — Plateforme Hybride d’Analyse et de Reconnaissance d’Espionnage — est un mini-ordinateur de la taille d’une boîte à chaussures que vous branchez dans votre structure. Pas d’installation complexe, pas d’abonnement, pas de compétences techniques requises.
La borne effectue en moins de 5 minutes ce qui nécessiterait des heures de travail manuel par un expert en sécurité informatique : une analyse forensique combinée du téléphone, croisant trois sources de détection complémentaires.
Les trois couches de détection
1. Analyse forensique des applications — PHARE utilise MVT d’Amnesty International pour scanner la liste des applications installées, les configurations systèmes, et les artefacts forensiques. Sur Android, l’acquisition passe par AndroidQF (acquisition rapide en 2-3 minutes) suivi d’une analyse MVT complète. Sur iOS, pymobiledevice3 inspecte les applications, profils MDM, certificats racine, appareils appairés, mode développeur et rapports de crash.
2. Analyse du trafic réseau — Le téléphone est connecté à un réseau WiFi isolé géré par la borne. Suricata, un moteur de détection d’intrusion développé par l’Open Information Security Foundation, analyse en temps réel le trafic sortant du téléphone. Après un redémarrage automatique de l’appareil (les stalkerwares contactent leur serveur au démarrage), Suricata compare les connexions à des règles générées à partir des indicateurs de compromission connus — noms de domaine DNS et SNI TLS des serveurs de commande et contrôle (C2) des stalkerwares.
3. Base de données d’indicateurs — PHARE agrège les indicateurs de compromission de 3 sources :
| Source | Type | Couverture | Mise à jour |
|---|---|---|---|
| ECHAP / AssoEchap | Stalkerware commercial | 172 applications, 3 228 échantillons | Toutes les 6 h |
| MVT-Indicators | Spyware étatique | Pegasus, Predator, Candiru | Toutes les 12 h |
| Amnesty Tech Investigations | Spyware étatique | NSO, NoviSpy, Wintego | Toutes les 24 h |
Les indicateurs sont échangés au format STIX 2.1, le standard international de partage de renseignements sur les menaces développé par OASIS et approuvé comme norme officielle en juin 2021.
Au total : plus de 7 000 indicateurs de compromission couvrant les stalkerwares commerciaux et les spywares étatiques.
Trois étapes, aucune compétence technique
1. Brancher
La victime connecte son téléphone (Android ou iPhone) à la borne via un câble USB standard. L’écran tactile affiche un formulaire de consentement RGPD que la personne doit valider avant toute analyse. Aucune donnée n’est analysée sans accord explicite.
2. Scanner
L’analyse démarre automatiquement. L’écran affiche la progression en temps réel : vérification des applications, inspection des configurations, analyse du trafic réseau. La victime et son accompagnant·e voient en direct ce qui se passe — aucune boîte noire.
Pour l’analyse réseau, le téléphone se connecte à un réseau WiFi temporaire (SSID et mot de passe uniques, générés pour chaque scan). Un QR code facilite la connexion sur iPhone. Le réseau est automatiquement fermé après l’analyse.
3. Savoir
En moins de 5 minutes (3-5 min pour l’analyse USB, 6 min optionnelles pour le réseau), la borne produit :
- Un verdict clair et coloré :
- Vert : aucun logiciel espion détecté
- Bleu : éléments informatifs à vérifier (permissions inhabituelles, configurations atypiques)
- Orange : éléments suspects nécessitant un avis technique complémentaire
- Rouge : stalkerware confirmé — logiciel espion formellement identifié
- Un rapport PDF détaillé : verdict, résultats des vérifications, applications analysées, trafic réseau, recommandations adaptées, ressources (ECHAP, 3919, CIDFF). Chiffrable en AES-256 avec le numéro de série du téléphone comme mot de passe
- Des recommandations adaptées à la situation, incluant les 10 règles d’or de l’ANSSI vulgarisées pour un public non-technique
Les garanties : RGPD, sécurité, transparence
Conforme RGPD — par conception
PHARE a été conçu selon le principe de privacy by design (article 25 du RGPD) :
- Aucune donnée n’est conservée après le scan. L’intégralité de l’analyse est effectuée en mémoire vive (ramdisk tmpfs), sur un disque chiffré LUKS2
- Effacement sécurisé : chaque fichier temporaire est écrasé avec des zéros (chunks de 64 Ko + fsync) avant suppression — pas un simple
rm - Aucune donnée personnelle dans les logs : ni email, ni modèle de téléphone, ni numéro de série, ni fabricant. Uniquement des identifiants tronqués et des compteurs
- Le consentement est enregistré sous forme de hash SHA-256 — il n’est pas possible de remonter aux informations d’origine
- Les conteneurs d’analyse MVT sont éphémères (
--rm) : détruits après chaque scan - Un watchdog d’intégrité vérifie que le ramdisk est bien purgé après chaque analyse. En cas d’anomalie, la borne force un redémarrage
La base légale du traitement est le consentement explicite (article 6(1)(a) du RGPD), recueilli sur l’écran tactile avant toute analyse.
Accessible
L’installation prend moins d’une heure grâce à un déploiement automatisé (Ansible). Aucune maintenance manuelle n’est requise : les mises à jour d’indicateurs de compromission et du système sont automatiques.
Pour qui ?
PHARE est conçu pour toute structure en contact avec des victimes potentielles de surveillance numérique :
- Associations d’aide aux victimes : CIDFF (98 associations, 2 400 permanences), Solidarité Femmes (67 associations), CHRS, centres d’hébergement
- Structures juridiques : cabinets d’avocats spécialisés en droit de la famille, barreaux, maisons de justice
- Commissariats et gendarmeries : le rapport PDF est conçu pour être utilisable comme élément de preuve dans le cadre d’une plainte — à l’image du dispositif Vériphone/Deloge déployé au tribunal de Paris
- Réparateurs de téléphones : proposer un service de vérification lors d’un changement de téléphone ou d’une réinitialisation
Contactez-nous pour organiser une démonstration ou déployer PHARE dans votre structure.