Martin Untersinger
Des entreprises proposent aux forces de l’ordre de pister des utilisateurs de smartphones grâce à leurs données publicitaires. « Le Monde » a assisté à des présentations confidentielles de ces nouveaux outils de surveillance.
En 2017, un enquêteur français haut placé de retour de Milipol, le grand salon bisannuel consacré à la sécurité des Etats, se confie à l’auteur de ces lignes. Choqué, il dit avoir été approché dans les travées du salon par « une entreprise israélienne » – dont il ne veut pas donner le nom – qui a voulu lui vendre un outil de géolocalisation utilisant les données publicitaires collectées sur les téléphones mobiles.
Près d’une décennie plus tard, ce qui avait alors des allures de science-fiction est devenu une industrie bien installée. Des entreprises vendent désormais des prestations d’« Advertising Intelligence » (Adint) : en récupérant sur les marchés publicitaires la géolocalisation de millions de téléphones dans le monde entier, elles promettent à des services de renseignement ou de police de les suivre à la trace, à quelques mètres près.
Selon un décompte du Monde, au moins une quinzaine de sociétés proposent désormais ce service : la plupart sises en Israël – et fondées par d’anciens des services de renseignement ou de l’armée du pays – mais aussi en Europe et aux Etats-Unis. Leur matière première : les données publicitaires échangées et revendues dans des places de marché en ligne, captées par des milliers d’applications lambda (jeux, météo…) et censées être utilisées à des fins publicitaires.
Des données mises à jour en temps réel
Les outils d’Adint ont la cote et les entreprises du secteur sont de plus en plus nombreuses à en faire l’article dans les salons ou conférences spécialisés. L’ICE, la police américaine de l’immigration, a récemment fait l’achat d’un outil d’Adint pour 5 millions de dollars (4,3 millions d’euros), selon la presse américaine. Ces outils sont vus et présentés comme des solutions de remplacement à d’autres méthodes de pistage, plus lourdes ou de moins en moins efficaces. Mais ces nouveaux outils de surveillance, soumis à une régulation souple voire inexistante, soulèvent des enjeux massifs en matière de libertés individuelles dans la mesure où ils peuvent être utilisés par n’importe quel pays ou institution contre n’importe quel téléphone à travers la planète.
Comme toute l’industrie de la surveillance, ces entreprises prospèrent dans l’opacité. Le Monde a cependant réussi, ces derniers mois, à assister à plusieurs présentations d’outils d’Adint confidentielles et destinées aux forces de l’ordre.
Sur le papier, les outils d’Adint ont de quoi faire rêver les enquêteurs. Ubiqo, la solution d’Adint lancée par le conglomérat italien de la surveillance RCS Lab, est ainsi présentée par ses commerciaux comme capable de pister les téléphones quasiment en temps réel et jusqu’à dix ans en arrière, de manière invisible, et en ne nécessitant « aucune collaboration des opérateurs téléphoniques ».
Dans une présentation à laquelle Le Monde a également pu assister, les commerciaux de Penlink – le leader du secteur, américain, mais dont l’outil d’Adint est d’origine israélienne – se vantent de capter des données pouvant remonter jusqu’en 2019, dans tous les pays du monde. Ces données sont mises à jour quasiment en temps réel : entre deux minutes et vingt-quatre heures, selon un commercial. Wave Guard Technologies, autre entreprise israélienne de l’Adint, promeut, dans un document que Le Monde s’est procuré, sa plateforme Advantage permettant le « suivi en temps réel et dans le monde entier d’une cible ». Son slogan le résume bien : « tous les appareils, n’importe quand, partout ».
Véritables identités
Dans une autre présentation privée, un commercial de Rayzone, qui a proposé dès 2017 des outils d’Adint, montre comment ces derniers peuvent être utilisés contre l’immigration illégale : en récupérant les identifiants publicitaires présents à plusieurs endroits connus pour être des lieux de transit de réfugiés, les enquêteurs sont censés pouvoir repérer les téléphones qui s’y rendent régulièrement – appartenant donc aux passeurs. « Nous collectons des données en permanence, ce qui permet de remonter dans le temps et de découvrir de nouveaux suspects », se félicite un commercial de l’entreprise devant un parterre de membres de forces de l’ordre. « Notre produit n’est vendu qu’aux forces de l’ordre et ne peut être utilisé que pour lutter contre le crime et le terrorisme. Nous suivons un processus strict et restrictif avant toute vente. Nous évaluons le client pour savoir précisément à qui nous vendons le produit », a réagi l’entreprise Rayzone, sollicitée par Le Monde.
Les données que manipulent ces entreprises sont censées être anonymes, rattachées à un identifiant publicitaire formé d’une suite de lettres et de chiffres. Cependant, la quasi-totalité d’entre elles offrent à leur client de désanonymiser ces données. Les commerciaux de RCS ont ainsi affirmé, lors de la présentation à laquelle Le Monde a assisté, être capables de relier les identifiants publicitaires à de véritables identités et de l’avoir fait à l’échelle d’un pays tout entier en désanonymisant 95 % des appareils mobiles italiens. Contactée, l’entreprise « nie fermement ». RCS dit vendre « des produits et des services aux forces de l’ordre » à des fins de lutte contre « le terrorisme, le trafic de stupéfiants, le crime organisé, la pédocriminalité et la corruption (…) en conformité avec les règles et les régulations européennes et nationales ».
Les autres sociétés font la même promesse. Sur son stand au salon Milipol de 2025, Wave Guard Technologies promeut une « plateforme de désanonymisation » des données publicitaires. Cognyte – autre société du secteur – comme Rayzone font aussi, devant les forces de l’ordre, les mêmes promesses. Elles sont d’autant plus crédibles que ces sociétés – ou leurs clients – peuvent croiser ces données avec d’autres : ainsi Penlink affirme devant des enquêteurs que son système est capable de rapprocher des identifiants publicitaires (et leur localisation) d’adresses et de noms figurant dans des bases de données piratées et ayant fuité sur Internet.
Ces démonstrations font forte impression auprès de leur cible. « J’ai été émerveillé », souffle un magistrat après la démonstration d’une société spécialisée dans l’Adint. Ce qui explique aussi que certains ne rechignent pas à s’acquitter d’une facture qui peut s’élever à plusieurs millions d’euros par an pour ce type de services. C’est notamment le cas de dizaines d’agences ou d’autorités aux Etats-Unis, où l’utilisation de ces outils s’est répandue ces dernières années.
Des données pas toujours fiables
Ces sociétés vendent-elles ces outils uniquement à des Etats ou les fournissent-elles aussi à des entreprises ? Wave Guard Technologies, dans le document que s’est procuré Le Monde, dit que sa plateforme d’Adint équipe des « institutions financières pour une meilleure sécurité et la prévention de la fraude ». La société n’a pas donné suite à nos sollicitations.
Cette industrie de la surveillance est-elle légale ? Certains vendeurs de solutions d’Adint s’exonèrent de toute responsabilité en se présentant comme de simples « tuyaux » fournissant les forces de l’ordre en données. D’autres se réfugient derrière le consentement que donnent les utilisateurs lorsqu’ils acceptent les conditions d’utilisation des applications récupérant leur géolocalisation. « Quand vous cliquez sur “J’accepte”, vous partagez volontairement vos données avec nous », résume sans fard un commercial d’une entreprise israélienne vendant une solution d’Adint lors d’une démonstration à laquelle nous avons assisté. Et pourtant : le droit européen prohibe l’utilisation des données personnelles de ses ressortissants collectées à des fins publicitaires pour une autre fin sans leur consentement.
Ce n’est pas le seul problème de ces solutions. Derrière le vernis des présentations commerciales, la réalité est que ces outils ne sont pas toujours fiables. Lors d’une présentation à laquelle Le Monde a assisté, un commercial d’une entreprise israélienne reconnaît que « 80 à 85 % » des données qu’il récupère ne sont pas exploitables, notamment en raison d’une géolocalisation absente ou fantaisiste.
Les industriels ont aussi tendance à exagérer la proportion des téléphones dont ils arrivent à obtenir la géolocalisation. En effet, tous les possesseurs de smartphones n’utilisent pas les applications dont les données abondent ensuite les marchés publicitaires et les vendeurs d’Adint. En définitive, « 10 % ou 15 % des téléphones en circulation dans le monde » sont traçables, selon une source européenne qui a pu étudier de près les offres de vendeurs d’Adint.
Une réglementation peu contraignante
L’utilisation de ces données pour des enquêtes judiciaires, qui nécessitent un haut degré de fiabilité et de l’exhaustivité, semble donc marginale. Les outils d’Adint semblent plus prometteurs pour les services de renseignement : « ça permet de détecter des tendances, des signaux faibles, des flux », poursuit cette même source, qui explique qu’il est possible pour un service de contre-espionnage d’obtenir une liste des téléphones ayant été présents dans les locaux d’une ambassade donnée pendant les douze derniers mois.
Malgré cela, ces outils ont un attrait pour les forces de l’ordre : la réglementation les concernant est beaucoup plus légère que celle d’autres outils de surveillance, comme les logiciels espions. Au prétexte que les données qu’ils proposent sont disponibles commercialement, les entreprises israéliennes peuvent – jusqu’à présent – librement les exporter, sans aval du ministère de la défense. Certaines sociétés font cependant du zèle en demandant cette autorisation, selon une source au sein de l’industrie israélienne.
Les outils d’Adint ne sont cependant pas sans rapport avec cet autre marché. Les autorités françaises se sont ainsi récemment alarmées de voir certaines sociétés d’Adint ne pas se contenter de récupérer des informations de profilage ou de géolocalisation, mais de diffuser des publicités piégées afin d’introduire des logiciels espions sur les téléphones.