Votre téléphone balance tout comment une simple appli météo a vendu les espions français au plus offrant

Votre téléphone balance tout: comment une simple appli météo a vendu les espions français au plus offrant


Oui! Votre téléphone balance tout, des espions français trahis par une simple appli météo… ce que révèle vraiment le marché noir des données…

Il y a quelques semaines, des agents de la DGSI, de la DGSE et du GIGN se sont fait localiser. Pas à cause d’un film d’espionnage raté ou d’un piratage de serveur ultra sécurisé. Juste à cause d’une appli météo ou d’un petit jeu mobile, installés comme toi, comme moi, sans trop réfléchir.

Des journalistes du quotidien Le Monde ont mis la main sur un énorme fichier de données publicitaires, vendu par un courtier en données personnelles. Une sorte de tableur XXL avec 16 millions d’identifiants et des centaines de millions de points de géolocalisation GPS. À partir de là, l’enquête de Martin Untersinger et de son équipe devient franchement glaçante. Ils racontent cette histoire dans un article d’investigation que tu peux lire sur le site du Monde.

Avec ces simples applis, il devient possible de suivre des agents très sensibles, de retrouver leurs domiciles, leurs habitudes, leurs trajets, parfois même la pièce où ils dorment. On ne parle plus de théorie complotiste pour faire peur. On parle de données très concrètes, sorties de serveurs bien réels et revendues sur un marché dont personne ne parle vraiment.

Et bien sûr, cette histoire ne concerne pas que quelques espions. Elle parle aussi de nous, de nos téléphones, et de tout ce qu’on laisse filer à chaque clic un peu trop rapide sur “OK”.

On ouvre la boîte noire des données

L’enquête du Monde commence par quelque chose de presque banal. Un courtier en données propose un “échantillon commercial” à des clients de la pub digitale. En gros, il promet: “Regardez la qualité de mes données, vous pourrez cibler vos pubs comme des snipers.” Les journalistes se font passer pour des pros du secteur. Le courtier leur envoie un fichier, sans trop se poser de questions.

Résultat : un gros fichier CSV, un tableur monstrueux avec plus de 16 millions d’identifiants publicitaires et près d’un milliard de points de géolocalisation. Le site spécialisé Cyberveille résume l’affaire et rappelle qu’une grande partie de ces données GPS a une précision de quelques mètres seulement.

Chaque identifiant publicitaire correspond à un téléphone. Pas directement à un nom, sur le papier c’est “anonyme”. Mais quand ce même identifiant “pingue” chaque nuit au même endroit, puis chaque matin dans les locaux d’un service sensible, cet anonymat commence à sentir la blague. Surtout quand on recoupe avec des registres publics, des bases d’entreprises ou de simples recherches sur le web.

À ce moment-là, l’enquête bascule. On ne parle plus de “big data” abstraite et de courbes colorées. On parle d’un gendarme, d’un policier, d’un militaire. On parle d’une personne, d’une famille, d’une adresse, de visages bien réels derrière les points sur la carte.

Quand des agents très sensibles se font griller

Les journalistes décident alors de faire un test simple. Ils filtrent le fichier sur quelques lieux très précis. Par exemple: les bâtiments de la DGSE à Paris. Un des endroits les plus sensibles de la République, où tout est censé rester discret.

Sur la carte, c’est la douche froide. Des centaines de téléphones “pinguent” à l’intérieur des locaux des services secrets. Ils pinguent le matin à l’arrivée, ils pinguent le soir au départ. Et ils pinguent ailleurs aussi : domiciles, courses, école des enfants, sorties du week-end, trajets du quotidien.

L’enquête, détaillée par Le Monde et reprise par d’autres sites comme Secours Rouge, montre qu’on peut ainsi retrouver plusieurs dizaines de personnes : des officiers de renseignement, des gendarmes du GIGN, des policiers de la DGSI, des militaires liés à la dissuasion nucléaire, des cadres du secteur de l’armement, des salariés de centrales nucléaires.

Un cas choque particulièrement. Le téléphone d’un gendarme chargé de la protection du président apparaît à l’Élysée, puis à la résidence de week-end du chef de l’État, puis dans une petite maison de banlieue, puis près du commerce de sa femme. En recoupant avec des informations publiques, les journalistes parviennent à confirmer l’identité. On passe d’un point sur une carte à un nom sur une boîte aux lettres.

On ne suit plus seulement un président dont l’agenda est largement public. On plonge dans la vie privée d’un gendarme, dans l’intimité de sa famille. C’est là que l’histoire commence vraiment à faire froid dans le dos, car ce scénario peut se répéter sur des milliers de personnes qui n’ont rien demandé.

Pour l’Agence nationale de sécurité des systèmes d’information, ce genre de situation n’a rien d’un délire exagéré. Dans ses alertes sur les attaques de téléphones par des logiciels espions comme Pegasus et d’autres outils offensifs, l’ANSSI insiste sur le fait que certaines vulnérabilités permettent déjà des accès quasi invisibles aux mobiles. Une dépêche détaillée d’AEF Info sur le sujet le rappelle très clairement: ces attaques peuvent passer par des canaux aussi banals qu’un simple affichage de contenu sur le smartphone (alerte ANSSI).

L’industrie pub qui sait (presque) tout de vous

Une question arrive vite: comment ces données hyper sensibles se retrouvent dans un fichier de pub ? La réponse tient en trois lettres que peu de gens connaissent, mais que tous les développeurs croisent un jour : SDK.

Lorsqu’un développeur crée une appli météo, un site d’annonces ou un petit jeu mobile, il doit souvent trouver un moyen de gagner sa vie. Plutôt que de faire payer l’utilisateur, il intègre un kit tiers, un Software Development Kit. Ce petit bout de code gère les publicités, les statistiques de fréquentation, parfois la gestion des crashs. En échange, il envoie des données vers les serveurs d’acteurs puissants de la pub en ligne.

Au lancement de l’appli, le téléphone affiche alors une question classique: “Autoriser la géolocalisation ?” On clique “Oui” pour avoir la météo exacte ou repérer les annonces à côté de chez soi. La localisation part sur un serveur, avec un identifiant publicitaire unique. Ensuite, ces infos circulent sur des places de marché publicitaire, où des dizaines d’entreprises reçoivent la même demande d’enchère pour une simple bannière.

En théorie, les acteurs sérieux ne gardent pas ces données et les utilisent seulement pour afficher une pub. Mais certains se branchent sur ces flux, enregistrent tout, croisent toutes les enchères, et construisent des bases gigantesques. Ces entreprises deviennent des data brokers, des courtiers en données personnelles, capables de revendre nos déplacements, nos profils et nos habitudes à d’autres clients.

L’universitaire Shoshana Zuboff décrit ce phénomène dans son livre L’âge du capitalisme de surveillance. Elle parle d’un système qui “surveille, suit, cible, analyse, définit, manipule et contrôle” les comportements humains pour les transformer en profit. Nos gestes les plus banals, comme vérifier la pluie ou lancer un puzzle sur le téléphone, deviennent des signaux captés, analysés et revendus.

Dans ce contexte, un simple clic sur “OK localisation” ne reste pas un petit détail technique. Il nourrit un marché que nous ne voyons pas, mais qui, lui, nous voit de plus en plus clairement.

Quand services secrets et flics achètent nos traces

Avec un tel trésor de données en circulation, il était quasi inévitable que d’autres acteurs s’y intéressent, au-delà des marques et des agences marketing. Et ce qui arrive ensuite ressemble à une dérive logique, presque mécanique.

Aux États-Unis, plusieurs enquêtes ont montré que des outils comme Fog Reveal ou Locate X permettent déjà à des services de police de suivre des smartphones à partir de données publicitaires. Des journalistes d’investigation ont notamment révélé que ces outils étaient utilisés pour suivre les déplacements de personnes se rendant dans des cliniques d’avortement, ou pour cartographier la vie quotidienne de cibles précises.

Le principe est assez simple, même s’il fait peur. On récupère un identifiant publicitaire, par exemple lors d’une opération policière ou via une autre source. On branche cet identifiant sur un outil qui a accès à un gros stock de données issues des enchères publicitaires. Et en quelques instants, on voit où ce téléphone a “pingé”: chez la personne, au travail, dans les lieux sensibles, dans les lieux intimes.

La vidéo de la chaîne Underscore, avec Martin Untersinger en invité, explique très bien ce glissement. Les données qui devaient servir à faire de la pub ciblée deviennent des outils de surveillance très fine, parfois sans qu’un juge n’ait eu son mot à dire. Tu peux retrouver cette discussion dans la vidéo YouTube intitulée “La trouvaille glaçante d’un journaliste sur nos téléphones”, qui détaille les coulisses de cette enquête.

En Europe aussi, des enquêtes comme le projet collaboratif Data Brokers Files, mené par plusieurs médias dont Le Monde, montrent que ces mêmes techniques peuvent viser des responsables politiques, des personnels d’ambassades ou des acteurs de la sécurité. L’outil ne change pas vraiment. Ce qui change, ce sont les clients et les cibles.

Et nous, là-dedans ?

Face à tout ça, on pourrait se dire qu’on est complètement fichus. Que le système est trop gros et trop complexe pour qu’on puisse faire quoi que ce soit. Pourtant, il existe quelques leviers, même imparfaits.

D’abord, il y a l’hygiène numérique. Limiter les applis qui demandent la géolocalisation. Refuser la localisation quand elle n’est pas indispensable. N’autoriser la position que “lorsque l’appli est active” plutôt qu’en permanence. Réinitialiser de temps en temps son identifiant publicitaire dans les paramètres du téléphone. Ce n’est pas fun, ça demande du temps, mais chaque petit geste réduit la surface exposée.

Ensuite, il existe des services qui aident à reprendre un peu la main sur les données laissées chez les courtiers. Des outils comme Incogni, mis en avant par Surfshark, envoient pour toi des demandes de suppression à des dizaines de data brokers. Le site Mouton Résilient explique comment ce type de service utilise le RGPD pour obliger certains acteurs à effacer des dernières traces.

Enfin, il y a le volet collectif et politique. Les autorités comme la CNIL ou l’ANSSI publient des lignes directrices pour les développeurs et les éditeurs d’applis. Elles rappellent que le consentement doit être libre, spécifique et éclairé, et que l’utilisateur doit savoir qui reçoit ses données. Les régulateurs sanctionnent parfois des entreprises, même si ces sanctions restent souvent limitées face à l’ampleur du marché.

Et si on ouvrait les yeux ?

À première vue, cette histoire a tout d’un scénario de série: des espions trahis par leur téléphone, des bases militaires repérées via une appli météo, des policiers suivis à la trace à cause d’un simple jeu mobile. Pourtant, rien de tout cela n’est de la fiction. C’est le résultat d’un système publicitaire qui a doucement débordé de son cadre initial.

Des journalistes comme Martin Untersinger, des chercheuses comme Shoshana Zuboff, des agences comme l’ANSSI tirent la sonnette d’alarme depuis des années. Ils décrivent un monde où nos clics, nos trajets, nos habitudes deviennent des données prêtes à être repêchées, copiées, revendues, utilisées à des fins que nous ne maîtrisons pas.

La question qui reste en suspens ne porte pas seulement sur la technique. Elle touche à la confiance, à la liberté, à ce que l’on accepte ou non de laisser filer. Jusqu’où sommes-nous prêts à voir nos vies compressées dans des colonnes d’un gigantesque tableur ? Et à quel moment décidons-nous, individuellement et collectivement, de regarder de plus près ce qui se cache derrière un simple bouton “Accepter” ?

À Voir également

L’IA de Google qui change la donne… et inquièteL’IA de Google qui change la donne… et inquiète La NSA et le double numérique enquête sur le projet le plus secret de l’ère digitaleLa NSA et le double numérique: enquête sur le projet le plus secret de l’ère digitale Steve Jobs, Bill Gates... interdisent les écrans à leurs propres enfants le paradoxe qui dérangeSteve Jobs, Bill Gates… interdisent les écrans à leurs propres enfants: le paradoxe qui dérange Vaccins Covid, NIH et armée qui tenait vraiment les manettes Vaccins Covid, NIH et armée: qui tenait vraiment les manettes ?