Regardez votre smartphone. Là, posé sur la table ou chaud dans votre poche. Il a l’air inoffensif avec son écran noir, pas vrai ? Pourtant, c’est le théâtre d’un braquage silencieux et permanent. Avec ce premier volet d’une série de deux articles, on va soulever le capot de cette machine infernale pour vous montrer ce qui se trame réellement derrière vos écrans. L’enjeu est colossal et, soyons honnêtes, assez flippant : il s’agit de comprendre comment des montagnes de données sont aspirées à votre insu, chaque jour, chaque heure, par une industrie dont vous ignoriez probablement l’existence.
Parce qu’on ne parle pas ici du petit cookie qui sert à vous vendre des baskets après une recherche Google. Non, on parle de l’ADINT (Advertising Intelligence). C’est un système tentaculaire où votre localisation précise, vos habitudes et vos fréquentations sont capturées via des applications banales, météo, jeux, utilitaires pour être revendues au plus offrant. Que ce soit des annonceurs, des hedge funds ou des services de renseignement étrangers, tout le monde se sert. C’est l’histoire de la fin de l’anonymat, orchestrée par les outils censés nous divertir. Bienvenue dans l’envers du décor.
Je vais être franc avec vous : au départ, je visais un format court, un truc rapide à lire entre deux stations de métro. Mais une fois le doigt mis dans l’engrenage, impossible de faire marche arrière. La masse d’informations est telle que le format long s’est imposé de lui-même. Ce n’est pas un papier écrit sur un coin de table, j’ai essoré mes outils de recherche en m’appuyant notamment sur la puissance d’analyse de Gemini pour traquer et vérifier les sources afin de livrer une véritable enquête. Le résultat est dense, certes, mais nécessaire. J’espère que cette plongée en eaux troubles vous servira d’électrochoc pour comprendre ce que deviennent réellement les données que vous semez derrière vous.
Vous pouvez retrouver la seconde partie de cette enquête en cliquant ici et qui est intitulé Comment votre smartphone tente désespérément de vous protéger.
A retenir :
Une plongée effrayante dans l’industrie de l’ADINT, où le protocole publicitaire mondial (RTB) est détourné pour transformer chaque smartphone en mouchard au service des États et des courtiers en données.
Quand la publicité devient le renseignement
On s’imagine souvent la surveillance mondiale comme un truc froid, géré par des États paranoïaques, avec des satellites hors de prix et des supercalculateurs planqués dans des bunkers. Sans oublier un super agent secret qui vous trouve tout en soulevant simplement un sourcil. La réalité ? Elle est beaucoup plus banale et, franchement, plus effrayante. Oubliez les systèmes centralisés et les lois strictes. Aujourd’hui, le renseignement opérationnel ne force plus les serrures numériques. Il sort simplement sa carte bleue. Bienvenue dans l’ère de l’ADINT (Advertising Intelligence), ou comment l’achat légal de données publicitaires a remplacé le piratage d’État. C’est un changement de paradigme brutal : on est passé d’une surveillance ciblée à une pêche au chalut industrielle, rendue possible par le détournement massif de l’infrastructure de la publicité en ligne. Qui l’eût cru avec les pâtes Lustucru ?
La publicité moucharde sans état d’âme
Le coupable a un nom barbare : le Real-Time Bidding (RTB). À la base, ce système d’enchères en temps réel a été conçu pour vendre de l’espace pub en quelques millisecondes. Sauf que, par accident ou par cynisme, c’est devenu le plus grand réseau de mouchards jamais déployé. Chaque jour, ce système balance des centaines de milliards d’infos sur notre géolocalisation à des milliers d’entreprises privées que personne ne surveille. Géolocalisation émanant je le rappelle de nos smartphones, comme de tous les appareils connectés.
L’Irish Council for Civil Liberties (ICCL) n’y va pas par quatre chemins et appelle ça la « plus grande violation de données de l’histoire ». Les chiffres donnent le vertige : si vous êtes aux États-Unis, votre vie numérique est exposée 747 fois par jour. En Europe, on est un peu plus tranquilles, mais avec 376 expositions quotidiennes, c’est pas la fête du slip, mais pas loin ! Ce qu’on va voir ici, c’est comment vos clics sur une appli météo ou un jeu débile finissent par alimenter des bases de données militaires, grillant au passage aussi bien le citoyen lambda que l’agent secret français.
Le Bidstream, ou l’anatomie d’une fuite organisée
Pour piger l’arnaque, il faut mettre les mains dans le cambouis du protocole OpenRTB. L’ADINT, ce n’est pas un bug ; c’est le système qui marche exactement comme prévu. Imaginez la scène : vous ouvrez une page web ou une appli. En moins de 200 millisecondes, une enchère se lance pour décider quelle pub va s’afficher. Pour que les annonceurs sachent ce qu’ils achètent, l’éditeur (le site ou l’appli) envoie une « demande d’enchère » (bid request). Et c’est là que le vase déborde.
Ce fichier, c’est une mine d’or. Il contient vos Identifiants Uniques (MAIDs), ces plaques d’immatriculation numériques de votre téléphone (IDFA chez Apple, AAID chez Google) qui permettent de vous suivre partout. Il contient souvent votre géolocalisation GPS précise au mètre près, votre adresse IP qui trahit votre domicile ou votre bureau, et tout le contexte de votre navigation. Le drame, c’est l’architecture même du truc : c’est de la diffusion large (broadcast). Pour faire monter les prix, on envoie ces infos à un maximum d’enchérisseurs. Le hic ? Même ceux qui ne gagnent pas l’enchère (et donc ne paient rien) reçoivent les données. Ils peuvent les copier, les stocker et dire merci. C’est ce qu’on appelle le bidstream data.
Des applications bien bavardes
Et ne croyez pas que vous êtes protégés parce que les cookies tiers disparaissent. Les MAIDs sont bien pires, car liés à l’appareil physique. Même si Apple avec son ATT ou Google tentent de limiter la casse, l’industrie a plus d’un tour dans son sac, comme le fingerprinting (créer une empreinte unique avec votre niveau de batterie, oui votre niveau de batterie, et votre modèle de tel) ou le bridging d’identité pour recoller les morceaux si vous changez d’identifiant. Le tout est alimenté par des applications « capteurs ». L’enquête « Databroker Files » a montré que plus de 40 000 applis jouent les agents doubles.
Météo, applis de prière, jeux comme Candy Crush, ou même votre lampe torche… elles pompent vos données pour les revendre. L’exemple de Wetter Online1 en Allemagne est dingue : 100 millions de téléchargements et une fuite massive de données de localisation. Pareil pour Grindr, qui a déjà servi à outer des gens en observant qui se connectait depuis des bâtiments gouvernementaux.
La source du flux
L’enquête internationale « Databroker Files », menée par un consortium incluant Le Monde, Netzpolitik et d’autres médias, a révélé que plus de 40 000 applications alimentent ces flux de données mondiaux. La diversité de ces applications assure une couverture quasi-totale de la population connectée :
| Catégorie d’application | Exemples cités dans les enquêtes | Type de données sensibles inférées | Risque surveillance |
| Météo | Wetter Online, Buienalarm | Localisation précise, historique de déplacement | Identification du domicile et lieu de travail |
| Rencontres | Grindr, Hornet, Lovoo, Tinder | Orientation sexuelle, statut relationnel | Chantage (Kompromat), ciblage sociologique |
| Religieux | Applications de prière (Musulmane, Chrétienne) | Appartenance religieuse, pratique, lieux de culte | Profilage ethnique ou religieux, surveillance antiterroriste |
| Utilitaires | Torches, Niveaux, Scanners QR | Localisation, liste d’applications installées | Empreinte numérique globale, vulnérabilités logicielles |
| Jeux | Candy Crush, Words with Friends, Happy Color | Identifiants appareils, Adresses IP, temps d’écran | Corrélation d’identité, graphe social via IP |
| Actualités | Focus Online, Upday | Opinions politiques, centres d’intérêt | Profilage idéologique |
L’écosystème industriel et les courtiers de l’ombre
L’ADINT, c’est pas de l’artisanat, c’est une industrie lourde. Ça commence par des boîtes comme X-Mode (devenu Outlogic) qui filent du cash aux développeurs d’applis pour qu’ils intègrent leurs kits de traçage (SDK). C’est sournois : l’utilisateur valide des conditions d’utilisation illisibles parlant de « partenaires de confiance« , et se retrouve pisté par une myriade d’intermédiaires.
Un contenu de qualité, sans publicité.
Vous aimez notre travail ? Soutenez notre indépendance en devenant membre sur Patreon.
Soutenir MyChromebook.frEnsuite, vous avez les gros poissons, les agrégateurs de données. Venntel, par exemple, ne possède pas d’applis mais achète des flux partout pour revendre des historiques de déplacement au FBI ou aux douanes états-unienne. Mobilewalla, eux, se sont fait taper sur les doigts pour avoir profilé des manifestants Black Lives Matter à partir de données glanées dans les enchères pub. On peut aussi citer Near Intelligence, qui se vantait d’avoir des infos sur un milliard d’appareils avant de faire faillite, laissant craindre que ses archives (nos vies, en gros) ne soient rachetées par n’importe qui. Et pour fluidifier tout ça, des places de marché comme Datarade ou AWS Data Exchange existent, où on peut acheter des paquets de données de localisation comme on achèterait des patates. Un journaliste a pu obtenir des échantillons sur des citoyens français sans aucun contrôle sérieux. C’est littéralement open bar.
Les principaux acteurs de la surveillance commerciale
| Entreprise | Pays d’origine | Produit phare | Méthode de collecte | Clients principaux connus |
| Rayzone Group | Israël | Patternz, Echo | Exploitation du RTB (Bidstream), Analyse Web | Agences nationales de renseignement (Global) |
| Babel Street | USA | Locate X | Agrégation de données d’applications | US Secret Service, ICE, FBI, Pentagone |
| Venntel | USA | Bases de données | Achat de flux à d’autres courtiers | US DHS (CBP, ICE) |
| X-Mode (Outlogic) | USA | SDK X-Mode | Paiement direct aux développeurs d’applis | Défense US, Annonceurs (Ciblé par FTC) |
| Near Intelligence | Singapour/USA | Vista, Allspark | Agrégation massive (RTB + SDK) | Défense US (avant faillite) |
| Mobilewalla | USA | Bases de données | RTB (60%), Partenariats applis | Forces de l’ordre, Marketing Politique |
Quand l’ADINT passe à l’offensive
C’est là qu’on bascule dans le thriller d’espionnage. Au sommet de la pyramide, on trouve les vendeurs de surveillance commerciale (CSV) qui vendent des logiciels clés en main aux États. Prenez Rayzone Group en Israël. Leur outil « Patternz » fait froid dans le dos : pas besoin d’infecter le téléphone avec un logiciel espion type Pegasus. Ils utilisent juste les données pub pour vous suivre à la trace, prédire vos mouvements et voir qui vous fréquentez. Ils se vantent de traiter 90 téraoctets par jour. Leur système « Echo » promet même une collecte totalement passive et indétectable via des « profils miroirs ».
Côté états-unien, Babel Street avec son outil « Locate X » permet aux fédéraux de « remonter le temps » sur une carte. Vous tracez une zone, vous choisissez une date, et vous voyez qui était là. Le Secret Service s’en sert, l’ICE aussi. C’est devenu une machine à générer des pistes d’enquête sans avoir besoin de mandat judiciaire. Et oubliez l’anonymat. Avec 4 points de localisation, on vous identifie à 95%. En croisant les trajectoires (où vous dormez, où vous bossez), l’anonymat vole en éclats.
La France et l’Europe, passoires et régulateurs
On pourrait croire que ça n’arrive qu’aux autres, mais la France est en plein dedans. L’enquête a prouvé qu’on pouvait acheter des données de localisation sur des agents de la DGSI à Levallois ou de la DGSE. C’est hallucinant : en isolant les signaux GPS des parkings de ces services, les journalistes ont pu suivre les espions français jusqu’à chez eux, identifier leurs familles et leurs habitudes. Si des journalistes peuvent le faire pour quelques milliers d’euros, imaginez ce que font les Russes ou les Chinois. Même topo à Bruxelles, où les hauts fonctionnaires de la Commission Européenne sont traçables comme des colis Amazon.
L’État français joue un double jeu bizarre. D’un côté, la CNIL tape fort (amendes records contre Criteo, Solocal, Hubside) pour faire respecter le consentement et la transparence. De l’autre, la Loi de Programmation Militaire (LPM) et le Ministère de l’Intérieur lorgnent avec envie sur ces outils OSINT et ADINT pour « l’anticipation » et le renseignement. On est sur une ligne de crête : protéger les citoyens ou profiter de la technologie ?
Impacts sociétaux et la fin de la vie privée
L’ADINT ne menace pas que les espions. C’est une arme braquée sur la société civile. Aux USA, c’est déjà le Far West : un prêtre a été outé via ses données Grindr par des conservateurs, des femmes visitant des cliniques d’avortement sont tracées… C’est le contournement ultime des garanties judiciaires, le fameux « Warrant Loophole ». Autre exemple : pendant plusieurs semaines des manifestations ont eu lieu en Iran. Cela a entraîné des milliers de morts. Mais aujourd’hui, des hommes, des femmes sont arrêtés et mis en prison pour avoir manifesté. Là encore, les données publicitaires ont été utilisées pour les localiser. En plus de la triangulation après les coupures à l’Internet.
Pourquoi s’embêter à demander un mandat à un juge quand on peut juste acheter les preuves légalement ? Le risque est asymétrique. Les puissances hostiles peuvent acheter nos données pour du chantage (Kompromat) ou de l’espionnage industriel. En Ukraine, les téléphones sont des cibles militaires. Nous avons construit une infrastructure de surveillance mondiale pour financer l’internet gratuit, et c’est un pacte faustien.
Pour s’en sortir, il ne suffira pas de former les agents à l’hygiène numérique (même si « dé-publicitariser » leurs téléphones est urgent). Il faut réformer le protocole RTB. Tant que la géolocalisation précise circulera dans les bid requests, nous serons tous des cibles potentielles. Si on ne reprend pas le contrôle maintenant, la vie privée ne sera plus qu’un vieux souvenir sympathique.
- L’exemple de l’application météo allemande Wetter Online est emblématique : téléchargée plus de 100 millions de fois, elle a partagé des données de localisation précises avec des tiers sans consentement valide, permettant de tracer les utilisateurs jusqu’à leur porte. De même, les applications de rencontres comme Grindr ont été historiquement exploitées pour localiser des individus dans des zones sensibles, comme des bâtiments gouvernementaux, révélant implicitement leur orientation sexuelle à des tiers. ↩︎
PS : Cet article a été écrit en synthétisant des informations techniques sur les protocoles publicitaires (OpenRTB), des enquêtes journalistiques majeures (Databroker Files, Le Monde, Netzpolitik), des rapports d’ONG (ICCL, Privacy International) et des actions régulatoires officielles (CNIL, FTC). Toutes les affirmations sont basées sur des sources documentées citées dans l’article.
FAQ (Foire Aux Questions) qui ne vous espionne pas
C’est quoi l’ADINT ?
C’est l’acronyme de « Advertising Intelligence ». En gros, c’est l’utilisation des données collectées par la publicité en ligne (localisation, identifiants) à des fins de renseignement et de surveillance.
Mon téléphone m’espionne-t-il même si je refuse les cookies ?
Oui, souvent via votre identifiant publicitaire unique (MAID) lié à l’appareil, ou par « fingerprinting » (analyse technique de votre téléphone), indépendamment des cookies de navigateur.
Qui achète ces données ?
Tout le monde : des fonds spéculatifs, des agences marketing, mais surtout des agences gouvernementales (FBI, douanes, services de renseignement) et parfois des acteurs malveillants étrangers.
