Elle a inspiré le personnage de "L" dans le roman d’Alice Zeniter, Comme un empire dans un empire (Prix Goncourt des Lycéens). Car, dans la vraie vie, Eva Galperin a tout d’une véritable héroïne de film, pourtant bien méconnue.
Directrice de la cybersécurité à l'Electronic Frontier Foundation (EFF, une ONG internationale de protection des libertés sur Internet), elle s’est personnellement engagée depuis plusieurs années pour l'éradication des "stalkerwares", ces logiciels espions et autres applications malveillantes promues auprès d'entreprises pour surveiller la productivité des salarié•es (sic), et qui sont aussi utilisées par des conjoints violents pour espionner leurs femmes ou enfants.
Téléphone, ordinateur, tablette, boîte mail, compte utilisateur, Cloud, montre connectée, caméras de surveillance... ces logiciels espions peuvent se glisser dans n'importe quel objet technologique. Ce qui représente un danger considérable dans le cadre des violences conjugales.
Marie Claire : Selon une enquête menée par le Centre Hubertine Auclert, spécialisé dans les inégalités et discriminations de genre, 21% des femmes victimes de violences conjugales disent avoir été espionnées par des logiciels espions. D’après le Centre, ce chiffre est certainement sous-estimé, car les victimes ne sont pas toujours conscientes qu'un logiciel espion a été installé. Qu’en pensez-vous ?
Eva Galperin : Je suis d’accord, ce chiffre de 21 % est probablement largement sous-estimé, car souvent, les survivantes ne savent pas comment détecter ces logiciels. Il arrive aussi que le logiciel espion ne soit plus sur leur appareil lorsqu'elles le recherchent. Il s'agit donc certainement d'une estimation faible.
Surtout, l'espionnage le plus courant vient de la compromission de compte : l'agresseur se connecte simplement au compte de quelqu'un d’autre, à son iCloud, ses mails, ses réseaux sociaux… Il obtient le mot de passe en intimidant ou harcelant la victime. Ou alors, la victime le lui a donné lorsqu’il se comportait gentiment avec elle, car ces situations de violence commencent souvent avec une période dite "de lune de miel", quand les agresseurs sont extrêmement sympas avec leur proie.
L'espionnage le plus courant vient de la compromission de compte : l'agresseur se connecte au compte de quelqu'un, à son iCloud, ses mails, ses réseaux sociaux…
Comment pensent-elles à vérifier leur téléphone ?
Parfois, elles se méfient parce que leur agresseur sait où elles se trouvent, ou fait référence à une conversation qu'elles ont eue, à leurs e-mails, à des choses prévues dans leur agenda... L'un des grands problèmes de ces stalkerwares, les logiciels espions, est qu'ils permettent à l'agresseur de savoir ce qui se passe dans le téléphone ou l’ordinateur de la victime, et donc, dans sa vie. La victime a alors l'impression que l'agresseur est omnipotent, qu'il sait et devine tout. C’est terrifiant.
Comment avez-vous commencé à travailler sur ce sujet ?
J'ai d’abord beaucoup travaillé sur la censure d’Internet, surtout pendant les printemps arabes. Cela m'a amené à m'intéresser à l'espionnage pratiqué par les gouvernements, comme avec le logiciel Pegasus récemment, sur les militants, les journalistes etc. Et donc aux logiciels espions. Puis, un chercheur sécurité avec lequel je bossais s'est révélé être un violeur en série. En écoutant les victimes, j’ai compris pourquoi ça avait pris autant de temps pour l'attraper : il était hacker et il les menaçait de pirater leurs appareils. Alors j’ai posté un tweet pour inviter les victimes de violences qui s’inquiétaient de ce type d’espionnage à me contacter. Près de 10.000 personnes l'ont retweeté. J'ai parlé avec des dizaines de personnes chaque jour. La plupart de celles qui sont venues vers moi n'avaient pas été infectées par un logiciel espion, leurs comptes personnels avaient juste été compromis. Mais celles qui avaient été infiltrées avaient traversé des choses très dures : kidnapping, violences...
Ces logiciels espions permettent à l'agresseur de savoir ce qui se passe dans le téléphone ou l’ordinateur de la victime, et donc, dans sa vie.
Avez-vous des exemples ?
Les gens me disent : "Mon ex vient de lire tous mes SMS", "Il me demande pourquoi j'envoie des photos à telle ou telle personne" ou "Il détient des photos qui ne sont que sur mon téléphone, que je n’ai jamais partagées avec qui que ce soit. Comment c’est possible ?".
La première chose que je fais, après avoir demandé aux victimes pourquoi elles pensent qu'il y a un problème, est de leur demander ce dont elles ont besoin pour se sentir en sécurité. Parfois, il faut les mettre en contact avec des organisations qui peuvent les aider à s'échapper... Se contenter de donner des conseils techniques aux gens n'est pas très utile, car ce qu’ils subissent fait partie d'un spectre de violences, il en existe souvent d’autres derrière, pas forcément techniques. Il arrive aussi que l'agresseur cible d’autres appareils, il prend le contrôle du téléphone, mais aussi des comptes bancaires, des appareils de domotique – en prenant la main sur la lumière de la maison, le verrouillage des portes etc.
Que peut faire une personne qui soupçonne quelqu’un de l'espionner via son téléphone ?
Si elle s'inquiète au sujet d'un appareil Apple, il existe un manuel qu'Apple a produit, intitulé "Device and Data Access when Personal Safety is At Risk" ("Accès aux dispositifs et aux données lorsque la sécurité personnelle est menacée" – à lire ici en anglais)*. C'est un document de 20 pages avec des captures d'écran et des checklists qui vous guide sur toutes les choses les plus courantes, la plupart des trucs commerciaux qui peuvent se retrouver dans votre appareil. Les logiciels espions ne fonctionnent généralement pas très bien sur Apple de toute façon.
Si vous avez Android : choisissez simplement un fournisseur d'anti-virus mobile et lancez des scans réguliers sur votre téléphone. Avant, ça marchait moins bien. Mais c’est pour ça que je suis allée voir directement les entreprises qui commercialisent ces anti-virus, pour qu’elles les rendent vraiment efficaces.
Ils n’étaient pas au courant qu’on pouvait mettre des logiciels espions dans les téléphones ?
Ils savaient, mais ils ne s'en souciaient pas vraiment. Ou ils se trouvaient des excuses, du genre "parfois, ce n’est pas si mal d’espionner votre partenaire si vous pensez qu’elle/il vous trompe", "ça peut être acceptable de surveiller ses employés"…
Donc j'ai été très stratégique. J'ai commencé à contacter des entreprises qui avaient eu mauvaise presse récemment et je leur ai dit "Hey, vous voulez de la bonne presse ? Une bonne campagne de com’ ?". Évidemment, ils ont accepté de se pencher sur le sujet. Et quand ils ont commencé à être efficaces dans la traque de ces logiciels espions, il est devenu plus facile pour leurs concurrents de s’y mettre aussi : "Ces types-là traquent les stalkerwares, on le fait nous aussi ?"
La plupart des sociétés qui éditent des anti-virus, comme Kaspersky, Malwarebytes, publient désormais des rapports réguliers sur leur capacité à détecter les logiciels malveillants. Nous avons d’ailleurs constaté une augmentation du recours à ces logiciels pendant la pandémie de Covid. Comme les agresseurs étaient éloignés de leurs victimes – s’ils n’étaient pas confinés ensemble – ils espionnaient leurs téléphones.
Il arrive aussi que l'agresseur cible d’autres appareils, il prend le contrôle du téléphone, mais aussi des comptes bancaires, des appareils de domotique
Les États, les institutions... sont-ils conscients de cette menace ?
Les institutions ne prennent pas cette menace au sérieux. Parfois, les victimes trouvent un logiciel espion sur leur téléphone et vont voir les forces de l'ordre pour le dénoncer. Mais en face, on leur répond : "Vous êtes dingue, ce n’est pas une preuve" et on leur dit de s’en aller. Assez peu de personnes comprennent le problème. C'est l'une des choses sur lesquelles je travaille en ce moment : former les forces de l'ordre sur le sujet, pour savoir ce qu'est un logiciel espion, comment il fonctionne, comment il peut être détecté. Pas besoin que tous les flics deviennent des analystes informatiques, mais il y a des choses qu'ils peuvent savoir.
Être une femme dans le domaine de la technologie vous a-t-il poussé dans ce combat ?
Toutes les personnes qui viennent me voir ne sont pas des femmes. Deux tiers sont des femmes, mais un tiers sont des hommes. La combinaison d’abus la plus courante reste celle où un homme violente une femme. Et oui, je pense que le secteur de la sécurité aurait pris le problème plus au sérieux s'il y avait eu plus de femmes dans le milieu. Mais le problème vient aussi de la définition de la cybersécurité, il s’agit de protéger les réseaux. Pas les personnes. Donc la communauté cyber ne considère pas comme sa mission d’assurer la protection des gens, encore moins les plus vulnérables
* Voir également la page "Comment savoir si quelqu'un a accès à vos appareils ou comptes iOS", aussi en anglais