Votre smartphone contient votre vie entière : messages privés, photos intimes, données bancaires, conversations professionnelles.
Mais qui d’autre y a accès ? Cette question, autrefois réservée aux thrillers d’espionnage, s’impose désormais à chacun de nous. En 2026, les technologies d’espionnage mobile ont franchi un cap. Elles ne sont plus l’apanage des services secrets.
La réalité technique est brutale : oui, il est possible d’espionner un téléphone. Mais la réponse mérite d’être nuancée. Entre le conjoint jaloux installant un stalkerware artisanal et les services d’État déployant Pegasus ou Graphite, l’écart est abyssal.
Sur le plan légal, la situation est tout aussi tranchée : espionner le téléphone d’autrui constitue un délit pénal en France, passible de sanctions lourdes.
Nous allons décortiquer les méthodes techniques réelles d’espionnage mobile, identifier les signes concrets d’une mise sur écoute, exposer le cadre juridique français et vous fournir un plan d’action pour protéger votre smartphone. Vous découvrirez pourquoi les codes magiques censés détecter l’espionnage sont des mythes urbains, et comment les failles Zero-Click ont révolutionné la menace.
La réponse courte : oui, absolument. La réponse nuancée distingue deux univers radicalement différents de menaces. Comprendre cette dichotomie est essentiel pour évaluer votre propre risque.
Les Stalkerwares (espionnage domestique) : Ces applications commerciales (mSpy, FlexiSpy, Spyera) ciblent principalement les conjoints suspicieux ou les employeurs intrusifs. Leur installation nécessite un accès physique à votre appareil déverrouillé pendant 5 à 15 minutes.
Le pirate doit autoriser manuellement les permissions (localisation, micro, caméra, SMS) et désactiver les protections système. Ces logiciels sont détectables par un œil averti car ils laissent des traces : icône masquée mais application visible dans les paramètres, consommation anormale de batterie, utilisation intensive des données mobiles.
Les Spywares mercenaires et étatiques : C’est le territoire de NSO Group (Pegasus), Paragon Solutions (Graphite) ou encore l’inquiétant LightSpy.
Ces implants représentent l’élite absolue de la cyberattaque. Leur coût dépasse souvent le million de dollars par cible. Ils exploitent des vulnérabilités Zero-Day (inconnues des fabricants) et s’installent à distance, sans aucune interaction de votre part.
Vous recevez un message iMessage, WhatsApp ou une notification push piégée. Votre téléphone est compromis avant même que le message ne s’affiche à l’écran.
💡 Conseil d’expert : Si vous êtes journaliste d’investigation, opposant politique, avocat de défense des droits humains ou diplomate, vous appartenez à la catégorie des « cibles à haute valeur ». Votre modèle de menace diffère fondamentalement de celui du grand public.
La question n’est donc pas « Peut-on espionner un téléphone ? » mais « Qui souhaite m’espionner et quels moyens déploie-t-il ? ». Un ex-partenaire toxique n’a pas les mêmes outils qu’un service de renseignement.
Pour espionner un smartphone moderne, il faut contourner des protections système sophistiquées. Apple et Google ont érigé des murs défensifs considérables : sandboxing (isolation des applications), chiffrement de bout en bout, vérification de l’intégrité du code.
Le défi du sandboxing : Sur iOS, chaque application s’exécute dans un conteneur isolé. Elle ne peut accéder aux données des autres apps qu’avec votre autorisation explicite. Android applique un principe similaire via son modèle de permissions. Un stalkerware classique doit donc vous duper pour que vous autorisiez l’accès au micro, aux SMS, à la localisation GPS. C’est faisable avec un utilisateur peu vigilant, mais laisse des traces évidentes dans les paramètres.
L’évolution terrifiante : les exploits Zero-Click : En 2025-2026, la menace a basculé dans une nouvelle dimension. Les spywares mercenaires exploitent désormais des chaînes d’attaques entièrement automatisées. Prenons un cas documenté : la faille CVE-2025-43200 découverte fin 2025 chez Apple. Cette vulnérabilité logique (score CVSS de 9.8 sur 10) permettait une exécution de code malveillant via le simple traitement d’une photo ou vidéo partagée par lien iCloud. Aucun clic requis. La victime reçoit un lien, le moteur de rendu de Safari ou iMessage précharge le média, l’exploit s’active. Apple a corrigé cette faille dans iOS 18.3.1, mais combien d’autres Zero-Days demeurent inconnus ?
Le cas Graphite (Paragon Solutions) : En juin 2025, le Citizen Lab a formellement identifié ce spyware israélien, concurrent direct de Pegasus. Les chercheurs ont documenté avec certitude des infections sur des iPhones exécutant iOS 18.2.1 entre janvier et février 2025. Le vecteur d’infection ? Des comptes iMessage compromis envoyant des messages piégés. Aucune interaction de la victime. Le malware s’installe, exfiltre les conversations WhatsApp, Signal, Telegram, enregistre le micro et la caméra, tout en effaçant ses propres logs.
L’arsenal Android n’est pas en reste : En septembre 2025, Google a dû corriger en urgence deux failles Zero-Day activement exploitées (CVE-2025-38352 et CVE-2025-48543). Ces vulnérabilités touchaient le noyau Linux et l’Android Runtime. Elles permettaient une élévation de privilèges totale sans interaction utilisateur. Un SMS multimédia (MMS) piégé, une notification push malformée, et votre Samsung ou Pixel devient un micro ambulant.
LightSpy : le spyware qui se réinvente : Actif depuis 2020, ce malware modulaire attribué à des acteurs étatiques chinois a subi une mise à jour majeure fin 2024. Sa version iOS 7.9.0 intègre désormais 28 plugins (contre 12 auparavant). Fait rarissime : LightSpy possède des fonctions d’auto-destruction. Il peut effacer l’historique de navigation, supprimer les profils Wi-Fi, voire bloquer le redémarrage de l’appareil pour forcer un « boot loop » et détruire les preuves. Sur Android, la version documentée en février 2025 dispose de plus de 100 commandes exécutables depuis le serveur C2 (Command & Control).
⚠️ Attention : Les correctifs de sécurité ne sont pas optionnels. Un iPhone sous iOS 17 ou un Android avec un patch level antérieur à septembre 2025 reste vulnérable à des exploits publiquement documentés.
C’est la question qui hante des millions d’utilisateurs. Les forums regorgent de conseils contradictoires, de codes USSD magiques et de paranoïa infondée. Démêlons le vrai du faux avec une approche factuelle.
Le mythe du code *#21# : Tapez ce code sur le clavier de votre iPhone ou Android, et vous verrez s’afficher l’état des renvois d’appel. C’est tout. Ce code interroge votre opérateur téléphonique pour savoir si vos appels sont redirigés vers un autre numéro. Il ne détecte absolument pas les logiciels espions, les micros activés à distance ou les implants Pegasus. Ce mythe urbain persistant doit mourir. Un stalkerware n’a pas besoin de rediriger vos appels : il les enregistre directement sur l’appareil et envoie les fichiers audio vers un serveur distant.
Les signaux faibles (indices de suspicion) : Ces symptômes peuvent indiquer une infection, mais aussi un simple bug système ou une application légitime mal optimisée. Ne concluez jamais à partir d’un seul signe.
Les signaux forts (diagnostic quasi-certain) : Ces indices sont beaucoup plus fiables et nécessitent une action immédiate.
Apple Threat Notifications : Depuis 2021, Apple envoie des alertes push et email aux utilisateurs ciblés par des spywares mercenaires. En 2025, quatre grandes vagues ont été documentées (5 mars, 29 avril, 25 juin, 3 septembre), touchant plus de 100 pays. Si vous recevez cette notification avec l’en-tête « THREAT NOTIFICATION ON THE LOCK SCREEN », vous êtes officiellement une cible confirmée. Apple précise dans ses messages : « Apple a détecté que vous êtes la cible d’une cyberattaque de type spyware mercenaire cherchant à compromettre à distance l’iPhone associé à votre identifiant Apple ».
Google Play Protect désactivé sans votre action : Sur Android, accédez à Play Store > Profil > Play Protect. Si cette protection est désactivée alors que vous ne l’avez jamais touchée, un malware tente de masquer sa présence.
Applications avec permissions « Administrateur de l’appareil » : Sur Android, allez dans Paramètres > Sécurité > Administrateurs de l’appareil. Une app inconnue a ce privilège ? Elle peut bloquer sa propre désinstallation et accéder à tout le système. Sur iOS, vérifiez les « Profils de configuration » dans Réglages > Général > Gestion de l’appareil. Un profil MDM (Mobile Device Management) installé par une source inconnue est une alerte maximale.
Processus système inconnus consommant des ressources : Sur Android, des outils comme SystemPanel ou OS Monitor révèlent les processus actifs. Cherchez des noms suspects (souvent des chaînes alphanumérique aléatoires) avec accès réseau permanent.
Cas particulier des cibles à haute valeur : Si vous êtes journaliste, avocat, militant, diplomate, ne vous fiez pas uniquement à ces symptômes. Les spywares d’État de dernière génération sont conçus pour être furtifs. Citizen Lab recommande des audits forensiques professionnels réalisés avec des outils comme Mobile Verification Toolkit (MVT) capable d’analyser les backups iOS et les dumps Android pour détecter les traces d’infection par Pegasus, Graphite ou LightSpy.
L’ignorance de la loi ne protège personne. Installer un logiciel espion sur le téléphone d’autrui, même votre conjoint ou votre enfant majeur, constitue un délit pénal sévèrement réprimé en France.
Article 226-1 du Code pénal – Atteinte à l’intimité de la vie privée : « Est puni d’un an d’emprisonnement et de 45 000 euros d’amende le fait, au moyen d’un procédé quelconque, volontairement de porter atteinte à l’intimité de la vie privée d’autrui en captant, enregistrant ou transmettant, sans le consentement de leur auteur, des paroles prononcées à titre privé ou confidentiel ou en fixant, enregistrant ou transmettant, sans le consentement de celle-ci, l’image d’une personne se trouvant dans un lieu privé. »
💡 Traduction concrète : Installer mSpy sur le téléphone de votre partenaire pour lire ses SMS WhatsApp tombe directement sous ce chef d’accusation. La peine encourue est réelle : un an de prison ferme et 45 000 € d’amende.
Article 226-15 du Code pénal – Interception de correspondances : « Le fait, commis de mauvaise foi, d’ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d’en prendre frauduleusement connaissance, est puni d’un an d’emprisonnement et de 45 000 euros d’amende. »
Cet article couvre spécifiquement l’interception de messages électroniques (SMS, emails, messageries instantanées). L’espionnage des conversations Signal, Telegram ou WhatsApp de votre employé, conjoint ou enfant sans consentement explicite vous expose à des poursuites pénales.
Jurisprudence récente : En 2023, un cadre d’entreprise a été condamné pour avoir installé un stalkerware sur les téléphones de ses commerciaux afin de surveiller leurs déplacements et leurs échanges clients. La cour a rappelé qu’aucun lien hiérarchique, aucun contrat de travail ne justifie une surveillance secrète. L’employeur doit informer explicitement ses salariés de toute surveillance et obtenir l’aval de la CNIL.
Le cas du contrôle parental : une zone grise encadrée : Vous avez le droit légal de surveiller l’activité numérique de vos enfants mineurs. Mais ce droit n’est pas absolu. La CNIL recommande la transparence : l’enfant doit être informé de la présence d’une application de contrôle parental. À partir de 15 ans (âge du consentement numérique en France selon le RGPD), la surveillance devient juridiquement plus complexe. Dès 18 ans, votre enfant est un adulte : espionner son téléphone devient illégal, même s’il vit sous votre toit.
Porter plainte : vos recours : Si vous découvrez un logiciel espion sur votre appareil et identifiez l’auteur, vous pouvez déposer plainte au commissariat. Les preuves techniques (captures d’écran des permissions suspectes, relevés de connexion au serveur C2) sont essentielles. Les détectives privés agréés peuvent également vous aider à constituer un dossier de preuves recevables en justice, notamment en cas de divorce conflictuel où l’espionnage conjugal est suspecté.
| Type d’espionnage | Auteur probable | Cadre légal | Sanction |
|---|---|---|---|
| Stalkerware sur conjoint | Ex-partenaire, conjoint jaloux | Illégal (Art. 226-1 et 226-15) | 1 an de prison + 45 000 € |
| Surveillance d’employé sans information | Employeur indélicat | Illégal (RGPD + Code pénal) | Sanctions CNIL + poursuites pénales |
| Spyware mercenaire (Pegasus) | Service étatique étranger | Illégal en France hors cadre judiciaire | Plainte diplomatique, enquête ANSSI |
| Contrôle parental sur mineur (informé) | Parents | Légal sous conditions | Aucune si transparence et proportionnalité |
Vous suspectez fortement une infection ou avez reçu une Threat Notification d’Apple ? Voici un protocole d’urgence en quatre étapes, gradué selon le niveau de menace.
Avant toute chose : Installez immédiatement la dernière version disponible de votre OS. Sur iPhone, allez dans Réglages > Général > Mise à jour logicielle. Téléchargez et installez iOS 18.3.1 minimum (qui corrige CVE-2025-43200). Sur Android, vérifiez que votre niveau de correctif de sécurité (Patch Level) est au minimum 2025-09-05 pour neutraliser CVE-2025-38352 et CVE-2025-48543.
Les exploits Zero-Day perdent leur efficacité dès qu’Apple ou Google publie un correctif. Un spyware installé via une faille comblée peut perdre ses privilèges système et devenir inopérant (ou au moins fortement dégradé).
Sur iOS :
Sur Android :
Le Mode Isolement d’Apple : Introduit avec iOS 16, ce mode draconien désactive une grande partie des fonctionnalités « riches » de l’iPhone pour réduire la surface d’attaque. Concrètement :
Apple recommande explicitement ce mode aux journalistes, activistes et toute cible potentielle de spyware mercenaire. Activez-le dans Réglages > Confidentialité et sécurité > Mode Isolement. Oui, cela rendra votre expérience utilisateur moins fluide. Mais cela bloque efficacement les vecteurs d’infection Zero-Click de Pegasus et Graphite.
Alternative Android : redémarrages quotidiens : Beaucoup d’implants espions (dont certaines versions de LightSpy) ne survivent pas à un redémarrage. Ils résident en mémoire RAM et perdent la persistance une fois l’appareil éteint. Redémarrez votre smartphone au moins une fois par jour. Certes, si l’exploit initial est toujours actif, le malware se réinstallera, mais cela complique considérablement la vie de l’attaquant et réduit la fenêtre d’exfiltration de données.
Quand y recourir ? Si vous avez reçu une Threat Notification, si tous les signaux forts sont au rouge, ou si vous êtes dans un contexte de menace extrême (opposant politique, avocat de victimes de régimes autoritaires), la seule garantie absolue est la réinitialisation totale.
Procédure iOS :
Procédure Android :
⚠️ Cas spécifique : Si vous êtes infecté par un spyware mercenaire qui a exploité une vulnérabilité du firmware ou du bootloader, même une réinitialisation peut être insuffisante. Dans ce cas extrême, le remplacement physique de l’appareil est la seule solution. C’est ce qu’ont fait plusieurs victimes documentées de Pegasus après confirmation forensique d’infection.
Mesures préventives continues :
| Critère | Stalkerware (mSpy, FlexiSpy) | Spyware mercenaire (Pegasus, Graphite) |
|---|---|---|
| Coût | 30 à 200 € par mois | 500 000 à 5 millions € par cible |
| Cible | Grand public (conjoint, employé) | Journalistes, diplomates, activistes |
| Accès physique requis | Oui (5-15 minutes sur appareil déverrouillé) | Non (infection Zero-Click à distance) |
| Détectabilité | Élevée (traces dans les permissions, icône masquée mais app visible) | Très faible (efface ses logs, furtivité maximale) |
| Vecteur d’infection | Installation manuelle via téléchargement APK ou profil iOS | Exploit Zero-Day (iMessage, WhatsApp, MMS) |
| Vulnérabilités exploitées | Naïveté de l’utilisateur | Failles CVE critiques inconnues (Zero-Day) |
| Niveau technique requis | Faible (tutoriels YouTube) | Expert (équipes de chercheurs en sécurité) |
| Capacités d’exfiltration | SMS, appels, localisation GPS, galerie photos | Tout ce qui précède + enregistrement micro/caméra à la demande, extraction des apps chiffrées (Signal, WhatsApp), keylogging |
| Correction possible | Désinstallation de l’app, révocation des permissions | Mise à jour iOS/Android, réinitialisation complète, parfois remplacement de l’appareil |
La menace des logiciels espions sur smartphone est réelle, stratifiée et évolutive.
Pour la majorité des utilisateurs, le risque provient de l’entourage proche (stalkerware domestique), facilement détectable et supprimable. Pour les profils à haute valeur, les spywares mercenaires représentent une menace de niveau étatique, nécessitant des mesures de protection drastiques (Mode Isolement, audits forensiques, renouvellement fréquent des appareils).
La loi française est sans équivoque : espionner le téléphone d’autrui vous expose à des sanctions pénales lourdes. Aucune relation affective, aucun lien hiérarchique ne justifie une surveillance secrète. Si vous suspectez une mise sur écoute, les outils de diagnostic existent : vérification des permissions, analyse des consommations de ressources, activation des alertes système.
La meilleure défense reste la mise à jour systématique de votre OS, la vigilance face aux messages suspects, et pour les cibles sensibles, l’activation du Mode Isolement.
Votre vie privée numérique mérite la même protection que votre domicile physique. Si vous êtes victime d’espionnage ou avez besoin d’investigations approfondies dans un contexte personnel ou professionnel, n’hésitez pas à consulter les experts en détection de Groupe Prometheus.