138 751 comptes clients. 300 millions de captures d’écran stockées sur des serveurs Amazon. Messages, photos, position GPS, frappes au clavier, flux de webcam : tout ce que les victimes faisaient sur leur téléphone ou leur ordinateur, transmis en temps réel à quelqu’un d’autre. Bryan Fleming, le créateur de pcTattletale, vient d’être condamné ce vendredi 4 avril par un tribunal fédéral de San Diego. Sa peine : 5 000 dollars d’amende et zéro jour de prison.
Une app vendue pour espionner son conjoint
pcTattletale fonctionnait comme la plupart des logiciels espions dits « stalkerware ». Une fois installé physiquement sur le téléphone ou l’ordinateur de la cible (il suffit de connaître le code de déverrouillage), l’application tournait en arrière-plan, invisible. Elle aspirait les SMS, les photos, l’historique de navigation, la géolocalisation et les frappes clavier, puis envoyait le tout vers un tableau de bord en ligne accessible à l’installateur. Certaines versions capturaient aussi le flux vidéo de la webcam. L’application fonctionnait sur Android, iPhone et PC, et son abonnement coûtait entre 25 et 99 dollars par mois selon les fonctionnalités choisies.
Ce qui distinguait pcTattletale de la concurrence, c’est le culot de son fondateur. Bryan Fleming faisait la promotion de son logiciel sur YouTube, en filmant depuis chez lui, visage découvert. Il ciblait explicitement les conjoints suspicieux, présentant son produit comme un outil pour « surveiller discrètement un partenaire ». Depuis au moins 2016, pcTattletale a accumulé plus de 138 000 comptes clients.
Un pirate a fait tomber ce que la justice n’avait pas touché
En mai 2024, un hacker a percé les défenses de pcTattletale, défiguré le site web et aspiré l’intégralité des données stockées sur les serveurs. L’ampleur de la fuite a révélé ce que les victimes ne soupçonnaient pas : 300 millions de captures d’écran de leurs appareils, conservées sur des serveurs Amazon S3 depuis des années. Les données exposées comprenaient noms, adresses physiques, e-mails, mots de passe, numéros de téléphone, adresses IP et messages SMS des clients et de leurs victimes.
Fleming a fermé pcTattletale dans la foulée. L’entreprise a publié un communiqué de deux phrases annonçant qu’elle cessait ses activités, sans un mot pour les victimes dont les données venaient d’être exposées au grand jour. La fuite de données a attiré l’attention du ministère de la Justice américain, qui enquêtait déjà sur Fleming depuis plusieurs années.
Première condamnation en douze ans
En janvier 2026, Fleming a plaidé coupable de piratage informatique, de vente et de publicité pour un logiciel espion destiné à des usages illicites, et de conspiration. Il a admis avoir « sciemment aidé des clients cherchant à espionner des adultes non consentants », selon le département de la Justice. Le procureur avait requis l’absence de peine de prison et de sanction financière, une demande que le juge a presque intégralement suivie en prononçant une simple amende de 5 000 dollars et la peine déjà purgée.
Fleming risquait pourtant jusqu’à 15 ans de prison. Cette condamnation est la première prononcée contre un fabricant de logiciel espion aux États-Unis depuis 2014, date à laquelle le créateur de StealthGenie avait écopé d’une peine similaire. En douze ans, des dizaines d’applications de stalkerware ont prospéré sans que leurs créateurs soient inquiétés par la justice pénale. La FTC (Commission fédérale du commerce) a bien sanctionné quelques éditeurs, mais les amendes civiles n’ont jamais suffi à dissuader un marché aussi lucratif.
62% des adultes admettent surveiller leur partenaire en ligne
pcTattletale n’est que la partie visible d’un phénomène massif. Selon un rapport de Malwarebytes, membre fondateur de la Coalition contre le stalkerware, 62% des adultes aux États-Unis et au Canada admettent avoir surveillé leur partenaire en ligne sous une forme ou une autre. Fouiller les SMS, traquer la géolocalisation, consulter l’historique de recherche ou installer un logiciel de surveillance : les degrés varient, mais la pratique traverse toutes les tranches d’âge et tous les milieux sociaux.
Le marché du stalkerware reste florissant. Les applications se présentent comme des outils de « contrôle parental » ou de « suivi des employés » pour contourner les restrictions des boutiques d’applications. Google et Apple suppriment régulièrement des apps identifiées, mais de nouvelles apparaissent sous d’autres noms en quelques jours. Kaspersky a détecté plus de 31 000 appareils infectés par du stalkerware dans le monde en 2024, un chiffre que les experts jugent très largement sous-estimé, puisqu’il ne comptabilise que les utilisateurs de leur propre antivirus et ignore totalement les victimes qui ne disposent d’aucune protection.
Une peine qui interroge
Le fait que le procureur ait lui-même demandé l’absence de prison soulève des questions. Fleming a coopéré avec l’enquête, ce qui a probablement pesé dans la balance. La fermeture de pcTattletale avant le procès a aussi joué en sa faveur. Le ministère de la Justice a présenté cette condamnation comme un signal envoyé à l’industrie du stalkerware, selon TechCrunch.
Le signal reste faible. Cinq mille dollars pour dix ans de surveillance illégale de milliers de personnes, c’est un montant inférieur au prix d’un abonnement annuel à la plupart des logiciels espions premium. Pour les victimes dont l’intimité a été exposée pendant des années, la facture est autrement plus lourde. Les organisations de lutte contre les violences conjugales, qui documentent depuis des années les liens directs entre stalkerware et violences physiques, espèrent que cette condamnation ouvrira la voie à des poursuites plus musclées. La prochaine cible potentielle du ministère de la Justice : TheTruthSpy, mSpy, Cocospy et d’autres opérateurs qui continuent de vendre des outils similaires en toute impunité depuis des années.
