En s’appuyant sur des fonctions intégrées au système, certaines applis malveillantes vont jusqu’à bloquer toute tentative de suppression. Une méthode qui illustre les dérives techniques des stalkerwares sur Android.
Depuis le début de l’année, les scandales liés aux stalkerwares s’enchaînent. En février, deux services de surveillance ont ainsi laissé s’échapper plus de 2,6 millions d’adresses mail. En mars, un troisième en a rajouté une couche avec près de deux millions de comptes exposés, dont 17 000 identifiants Apple en clair. Derrière ces fuites, une réalité bien plus large : celle d’un écosystème de spywares mobiles, installés sous couvert de contrôle parental, mais utilisées pour espionner partenaires ou proches, souvent dans des contextes de violences intrafamiliales.
Des méthodes illégales et d’autant plus insidieuses qu’elles exploitent les mécanismes intégrés à Android, poussant parfois la logique jusqu’à bloquer toute tentative de suppression sans le mot de passe défini par l’agresseur en amont.
Un mot de passe pour protéger le spyware, pas la victime
Le cas dont il est question ici a été identifié par TechCrunch. Dans le détail, nos confrères et consœurs ont analysé le comportement d’une application de surveillance mobile présentée comme un outil de suivi « grand public ». Son nom n’a pas été divulgué, afin d’éviter de lui faire de la publicité, mais on sait qu’elle se cache sous le nom générique « System Settings » et qu’elle utilise l’icône par défaut d’Android pour se fondre dans le décor. Et son fonctionnement a de quoi inquiéter.
Une fois installée, l’application réclame deux autorisations clés. La première lui accorde les droits d’administrateur de l’appareil, ce qui complique les possibilités de suppression classiques. La seconde, plus sournoise, repose sur une fonction Android parfaitement légitime : la capacité pour une application de superposer du contenu à l’écran (overlay), quelle que soit l’application en cours d’utilisation. C’est cette permission que le spyware détourne à son avantage.
Concrètement, dès que la victime tente de désactiver ou de désinstaller l’application, le stalkerware intercepte l’action en temps réel et affiche une invite de mot de passe. Tant que ce mot de passe – défini par l’agresseur – n’est pas correctement saisi, aucune suppression n’est possible. La fenêtre se ferme alors automatiquement, et l’utilisateur ou l’utilisatrice est renvoyé à l’écran d’accueil.
Pour rappel, ce type d’application est illégal, et en théorie interdit de distribution sur les stores officiels. Dans la majorité des cas, il s’agit d’APK installés manuellement, le plus souvent par une personne ayant eu un accès physique à l’appareil.
Comment désinstaller un stalkerware sans connaître le mot de passe associé
Pour contourner ce verrouillage, il est recommandé de passer par le mode sans échec d’Android. Une fonction pensée à l’origine pour diagnostiquer les bugs, mais qui s’avère ici utile pour reprendre la main sur un appareil compromis. Et pour cause, dans ce mode, seules les applications système sont autorisées à se lancer. Toutes les applications tierces, y compris les spywares, sont désactivées temporairement. Le blocage par mot de passe est suspendu, et l’on peut à nouveau accéder librement aux paramètres.
L’activation du mode sans échec varie légèrement selon les modèles de smartphones. En règle générale, il suffit de maintenir le bouton d’alimentation jusqu’à l’affichage des options, puis d’effectuer un appui long sur Éteindre pour faire apparaître l’option Redémarrer en mode sans échec. Une fois validée, la mention « Mode sécurisé » s’affiche à l’écran.
Depuis ce mode, il est alors possible de révoquer les droits admin de l’application depuis les Paramètres > Applications > Accès spéciaux des applis > Administration de l’appareil. Redémarrez ensuite votre smartphone pour quitter le mode sans échec.
Supprimer un stalkerware sans prendre de risques
IMPORTANT : supprimer un stalkerware déclenche généralement une alerte sur le smartphone de la personne qui l’a installé, ce qui peut aggraver la situation si vous êtes sous surveillance. Avant d’agir, pensez à vous protéger en contactant les services d’aide suivants :
- Tchat « En avant toute(s) » : écoute et conseils anonymes sur www.commentonsaime.fr
- Stop Cybersexisme (Centre Hubertine Auclert) : informations sur les cyberviolences conjugales, sexistes et sexuelles, droits et démarches sur www.stop-cybersexisme.com
- 3919 – Violences Femmes Information : ligne d’écoute nationale et anonyme
- Fédération Nationale Solidarité Femmes (FNSF) : accompagnement des victimes de violences conjugales. Trouver une association près de chez vous
- CIDFF (Centres d’Information sur les Droits des Femmes et des Familles) : soutien juridique et psychologique. Trouver une association près de chez vous
- Arrêtons les Violences : site du gouvernement français.
Sources : TechCrunch, StopStalkerware.org
