La faute incombe à une industrie publicitaire boulimique, opaque et hors de contrôle qui extrait chaque jour des smartphones des milliards de données personnelles, et notamment des déplacements précis à quelques mètres près, avant de les revendre. A moins d’une hygiène numérique à toute épreuve, il est difficile de lui échapper.
Les « Data Brokers Files », une enquête internationale
Ces révélations, qui confirment et approfondissent celles de Franceinfo, sont le fruit d’un partenariat entre Le Monde, le quotidien belge L’Echo, la rédaction spécialisée allemande Netzpolitik.org, la radio néerlandaise BNR et la radio allemande BR. Elles prolongent plusieurs enquêtes sur l’industrie des données personnelles :
- Des données publicitaires géolocalisées ont permis de suivre à la trace des responsables de l’UE, parfois jusqu’à leur domicile
- Données personnelles en vente libre : les « data brokers », une industrie hors de contrôle
- Comment surveiller et limiter la collecte de nos données personnelles
- Leboncoin, Vinted, Candy Crush… comment les applications nous pistent
Le Monde et plusieurs médias partenaires se sont procuré une base de données publicitaires, proposée par un courtier en données personnelles. A l’intérieur, plus de seize millions d’identifiants publicitaires et près d’un milliard de points de géolocalisation, représentant donc plusieurs millions de possesseurs de smartphones. Selon le courtier, ces données datent d’octobre 2024, mais des éléments recueillis par Le Monde montrent qu’elles sont parfois vieilles de quelques années.
Il s’agit d’un aperçu imparfait mais révélateur du type de données qui s’échangent chaque seconde au sein des marchés publicitaires. Et qui démontre à quel point ce commerce, dans lequel peuvent très facilement s’introduire des services de renseignement hostiles ou la criminalité organisée, met en danger la sécurité de l’Etat et de ses effectifs.
Bases nucléaires et visiteurs de l’Elysée
Avec de telles données, les lieux les plus secrets de l’Etat deviennent transparents. Elles montrent ainsi distinctement un téléphone portable géolocalisé à de nombreuses reprises sur les parkings situés à l’entrée de la base militaire de l’île Longue. C’est ici, dans le Finistère, que sont stationnés les sous-marins nucléaires lanceurs d’engins, composante-clé de la dissuasion française. On distingue clairement le trajet qui sépare ce lieu ultrasecret d’une petite maison dans un village voisin, ainsi que ses visites au supermarché du coin et chez le médecin.
Même constat à la base de Saint-Dizier (Haute-Marne), où se trouvent les avions de chasse Rafale capables de lancer des missiles nucléaires. On peut aisément déterminer qui travaille sur la base et, par rebond, l’identité voire l’activité de leurs conjoints. Plusieurs sites sensibles de la direction générale de l’armement sont aussi concernés.
Les déplacements d’Emmanuel Macron ne sont pas tous sensibles. La plupart sont même annoncés. Mais pouvoir suivre et identifier les gendarmes ou les policiers chargés de sa protection – et donc leurs proches – est une autre paire de manches. Leur identité est en effet protégée.
Sur le site de la gendarmerie nationale qui présente le dispositif de sécurité du président, par exemple, leur visage est flouté.
Pourtant, il ne fait guère de doute que le téléphone identifié par Le Monde à l’Elysée, au pavillon de la Lanterne, à Villacoublay et dans une caserne parisienne est celui d’un membre d’une équipe chargée de protéger le président. Qui d’autre peut-être géolocalisé dans un lieu prisé des époux Macron pendant les week-ends, l’aéroport d’où décollent les avions transportant le chef de l’Etat et une caserne abritant des unités chargées de la protection présidentielle ? Ce téléphone a même été présent dans l’hôtel creusois où Emmanuel Macron est descendu lors d’un voyage officiel.
Le Monde a pu constater que le nom inscrit sur la boîte aux lettres du pavillon de banlieue parisienne où le téléphone a été géolocalisé à de très nombreuses reprises correspond à celui d’un gendarme. Un élément supplémentaire de ses états de service, que nous ne pouvons décrire sans dévoiler son identité, atteste d’une proximité avec le chef de l’Etat.
Plusieurs autres téléphones proches du président de la République figurent dans la base de données. Comme ce smartphone également présent à Villacoublay, à l’Elysée, dans une caserne de la garde républicaine ainsi que dans l’hôtel de Honfleur (Calvados) où le couple présidentiel se rend à titre privé chaque automne. On le voit même le long de la promenade des Planches à Deauville, qu’Emmanuel Macron et sa femme Brigitte ont l’habitude d’emprunter. Sollicité par Le Monde, l’Elysée n’a pas donné suite.
Toutes les strates de l’Etat sont touchées. Même si nous n’avons pas réussi à identifier son propriétaire, Le Monde a pu découvrir un téléphone successivement localisé à l’Elysée, au tribunal judiciaire de Paris, aux ministères de l’intérieur et de la justice ainsi que dans le camp d’entraînement du GIGN et sur le tarmac de Vélizy-Villacoublay. Un téléphone, qui apparaît à la base de Versailles-Satory – au quartier général du GIGN et dans un immeuble d’habitation – est également localisé sur un lieu d’entraînement des gendarmes d’élite, une maison des Yvelines et à l’entrée d’un lycée de Versailles.
« Les déplacements ne sont pas forcément les informations les plus sensibles. Même si dans certains cas de figure (…) la simple géolocalisation a une sensibilité particulière, réagit auprès du Monde Vincent Strubel, directeur général de l’Agence nationale de sécurité des systèmes d’information (Anssi), chargée de la protection numérique de l’Etat. Je pense à des scénarios extrêmes, dans des services de renseignement ou des services de police, où cela peut exposer des personnels très gravement. »
De fait, les données étudiées pointent vers une dizaine de domiciles pouvant appartenir à des agents de la DGSE. Le Monde a pu confirmer que c’était le cas pour plusieurs d’entre eux. Mais les services extérieurs ne sont pas les seuls exposés : c’est aussi le cas de la direction du renseignement et de la sécurité de la défense, c’est-à-dire le service de contre-ingérence de l’armée, et de la direction générale de la sécurité intérieure (DGSI).
Par ailleurs, cette dernière partage ses locaux avec la sous-direction antiterroriste, l’une des unités les plus sensibles de la police nationale. Parmi les téléphones géolocalisés dans leur immeuble de Levallois-Perret (Hauts-de-Seine), l’un d’entre eux prend distinctement le train à la gare de Lyon pour rejoindre ce qui semble être son domicile, dans une commune de la banlieue sud-est de la capitale. Une recherche dans l’annuaire et sur Internet permet d’établir que son occupant porte le même nom qu’un policier. On peut, en trois clics, trouver le nom de son épouse, le lieu de travail et le numéro de téléphone de cette dernière ainsi qu’une photo de leurs enfants.
Contactés, la plupart des grands services régaliens assurent que le traçage publicitaire fait partie des problématiques bien identifiées. « Des mesures internes ont été prises afin de sensibiliser les agents au risque de diffusion de leurs données personnelles », explique la DGSI.
« La DGSE est consciente de cette problématique, qui touche tous les services de renseignements, et à propos de laquelle nous échangeons régulièrement avec d’autres services étrangers, détaille de son côté le service de renseignement extérieur. Un cadre strict d’utilisation des téléphones et des règles d’hygiène numérique robustes s’imposent aux agents et, lorsque c’est nécessaire, la DGSE met en place des “bulles de clandestinité” [un ensemble de processus de sécurité] qui protègent ce qui doit l’être au moment où cela doit l’être. » « Le GIGN a identifié cette problématique et l’a prise en compte », précise un porte-parole, mentionnant des « informations » transmises aux nouvelles recrues, des « séances de sensibilisation » régulières et des « rappels des bonnes pratiques » avant les missions à l’étranger.
De manière similaire, le ministère des armées répond que « la collecte des données faite par les smartphones, applications et objets connectés, ainsi que leur revente, fait partie des risques identifiés et pris en compte », passant par des « séances d’information au profit [des] collaborateurs civils et militaires ». « Si, dans leur vie privée, les agents du ministère sont connectés et utilisent leurs téléphones portables comme tout citoyen, le ministère leur recommande un usage discret et raisonné compte tenu de la sensibilité des missions qui peuvent leur incomber et des éventuelles menaces dont ils pourraient faire l’objet », ajoute le ministère des armées, qui assure procéder à des contrôles réguliers et sanctionner tout non-respect des consignes de sécurité.
Des cadres de l’industrie de l’armement exposés
Cibles potentielles de campagnes d’espionnage classique ou industriel, des employés de grands groupes privés du secteur de la défense sont également identifiables sans peine. C’est notamment le cas d’un très haut responsable de Naval Group vivant dans l’ouest de la France, d’un cadre de premier plan de l’entreprise KNDS – qui fabrique notamment les canons Caesar – installé dans les Yvelines, ainsi que de deux informaticiens seniors travaillant pour le géant Thales. Ici c’est moins leur identité – disponible publiquement – qui est exposée que leurs déplacements, donc leurs habitudes et pourquoi pas leurs secrets.
Dans plusieurs cas, les données de géolocalisation ont permis au Monde de déterminer très précisément les habitudes de vie des personnes concernées : trajets quotidiens, magasins fréquentés, et même les restaurants où ces personnes commandent régulièrement pizzas ou plats libanais à emporter. Autant d’informations utilisables, par exemple, par un service de renseignement étranger.
Pour plusieurs grands groupes sollicités, la géolocalisation d’employés est pensée au sein d’un ensemble de mesures de sécurité globales. C’est notamment ce que déclare EDF, dont des salariés ayant accès au cœur des centrales nucléaires françaises figurent dans les données consultées par Le Monde. De son côté, Thales assure prendre « ce sujet très au sérieux et sensibilise[r] régulièrement ses collaborateurs à ces enjeux », et estime qu’« au-delà de la prise de conscience individuelle, l’essentiel reste la protection robuste des données les plus sensibles : gestion sécurisée des accès, chiffrement systématique des données sensibles, et bonnes pratiques de sécurité numérique pour toutes les communications internes et externes ».
De même, « KNDS est pleinement conscient de la nécessité de sensibiliser ses collaborateurs à ces sujets », a réagi un porte-parole du groupe franco-allemand, qui ne « souhaite pas publiquement évoquer les mesures prises en ce sens pour des raisons de confidentialité ». Naval Group n’a pas donné suite aux sollicitations du Monde.
Données récupérables par des mafias ou des Etats hostiles
D’autres types de structures étatiques qui n’ont pas de lien avec le secret-défense, mais dont les employés peuvent courir des risques, sont également touchés : il est ainsi facile de repérer les téléphones localisés au sein de la préfecture de Haute-Corse, par exemple, ou encore des surveillants pénitentiaires. Un sujet particulièrement sensible quand on sait que les domiciles de plusieurs d’entre eux ont été visés par des tirs d’armes à feu au printemps.
Les enjeux sont d’autant plus importants qu’il est trivial et relativement peu onéreux, pour un service de renseignement hostile ou un groupe issu de la criminalité organisée, de se procurer ces données, parfois mises à jour toutes les quinze minutes. Ces fichiers sont en effet vendus par des courtiers et échangés au sein de places de marché dans une grande opacité et sans toujours respecter la loi qui impose de recueillir le consentement des utilisateurs. Sans parler d’une industrie spécialisée – l’advertising intelligence (« intelligence publicitaire », Adint) – qui récupère, retraite et revend ces données à des services étatiques à des fins de surveillance.
Cette collecte de données publicitaires n’est techniquement pas inévitable. Il est possible de réinitialiser régulièrement son identifiant publicitaire, brouillant ainsi les pistes. Il est aussi possible de refuser systématiquement la localisation de toutes les applications, mais ces pratiques sont contraignantes et limitent souvent les fonctionnalités du téléphone. contacter notre service commercial.
Par Martin Untersinger, Damien Leloup, Thomas Steffen et Elsa Delmas – Le Monde
La source de cet article se trouve sur ce site
