Exploiter le système de la publicité en ligne pour surveiller, traquer et infiltrer : telle est la force de l’ADINT, ou Advertising Intelligence. Cette discipline méconnue utilise les données publicitaires et les mécanismes de ciblage, détournés à des fins de renseignement. Elle soulève des questions majeures en matière de cybersécurité et de protection des données.
Au cœur du système publicitaire numérique, un marché prospère se nourrit de nos données personnelles, alimentant un nouveau type de renseignement : l’ADINT (Advertising Intelligence), le renseignement par la publicité en ligne. Loin des regards, des entreprises exploitent les failles de ce système pour transformer les publicités en armes de surveillance. En se faisant passer pour de simples annonceurs, elles siphonnent les informations collectées par les applications mobiles pour établir des profils détaillés d’utilisateurs, suivre leurs déplacements (en temps quasi réel avec une approximation de 8 mètres) et même injecter des logiciels malveillants à distance. Récemment, l’enquête « TrackingFiles » de Franceinfo (mars 2025) montrait à nouveau comment les données de géolocalisation collectées par la publicité en ligne permettaient d’exposer la vie privée d’hommes politiques, de diplomates et de militaires français.
Ce marché florissant, dominé par des entreprises israéliennes comme Insanet, Rayzone et Patternz, inquiète par sa capacité à contourner les législations et à opérer dans une opacité quasi-totale. Dans le monde de l’ADINT, les sites web et applications mobiles deviennent des vecteurs d’attaque sans que leurs créateurs ou leurs utilisateurs en soient conscients. Pire encore, il n’existe à ce jour aucune protection contre ces nouvelles formes d’offensives. Pour cette raison, il est important d’alerter les décideurs français sur cette menace fantôme qui pèse sur la sécurité nationale, d’autant plus dans un contexte encore marqué par le scandale du logiciel espion Pegasus, qui avait permis la mise sous surveillance du téléphone du président Emmanuel Macron.
La publicité en ligne : un écosystème complexe
Avant de saisir les enjeux de l’ADINT, il faut d’abord comprendre l’écosystème complexe de la publicité en ligne. Celui-ci repose sur l’interaction de plusieurs acteurs. D’un côté, les éditeurs de contenu – sites web ou applications – proposent des espaces publicitaires à monétiser. De l’autre, les plateformes publicitaires, telles que Google Ads ou Choozle, font le lien entre ces espaces et les annonceurs, c’est-à-dire les entreprises qui souhaitent y diffuser leurs messages. Enfin, au cœur de ce système, se trouvent les utilisateurs : les internautes eux-mêmes, cibles finales des campagnes et sources des données collectées.
L’ensemble de ces acteurs diffuse et reçoit de la publicité via un système d’enchères en temps réel, également connu sous le nom de RTB (Real-Time Bidding). Ce mécanisme automatisé permet aux annonceurs de diffuser des publicités en temps réel sur la plupart des sites et des applications en ciblant des publics précis – âge, sexe, centres d’intérêt, localisation, etc. Par exemple, un annonceur peut diffuser une bannière publicitaire entre 7h et 9h du matin auprès des hommes âgés de 40 à 50 ans, situés dans le premier arrondissement de Paris, issus d’une catégorie socioprofessionnelle favorisée (CSP+) et intéressés par les nouvelles technologies, l’économie et le jardinage. Cette bannière publicitaire s’affiche alors à la vue du public ciblé sur différents sites et applications, moyennant quelques euros de la poche de l’annonceur.
Le fonctionnement de la publicité en ligne est complexe, impliquant des millions de sites et d’acteurs en quelques millisecondes, mécanismes que le documentaire Internet : le piège du clic d’Arte explique parfaitement.
Le fonctionnement de l’ADINT : exploiter les failles du système publicitaire
L’ADINT exploite les failles du système d’enchères en temps réel, conçu pour cibler des publics spécifiques. L’opérateur d’ADINT se fait passer pour un annonceur lambda, et utilise les plateformes publicitaires pour diffuser des annonces anodines afin de collecter des empreintes numériques : des données techniques et/ou personnelles, comme l’adresse IP ou le Mobile Ad ID (MAID), un identifiant publicitaire unique. Ces empreintes peuvent également être achetées par lots à des data brokers, des courtiers de données qui les revendent légalement à des entreprises désireuses d’affiner leur ciblage publicitaire – c’est la méthode utilisée dans l’enquête « TrackingFiles » de Franceinfo.
Certaines données permettent d’identifier un appareil, et donc indirectement son propriétaire. C’est le cas du MAID par exemple, qui peut être obtenu via un accès direct au terminal, mais aussi via des campagnes d’ADINT basées sur des informations recueillies en sources ouvertes (OSINT). Il est possible de prendre un exemple fictif, comme celui de M. Bernard. Grâce à une investigation préliminaire en OSINT, nous savons qu’il réside aux Batignolles à Paris, qu’il travaille au siège de l’entreprise RandomCompany dans le 12e arrondissement, et qu’il rend régulièrement visite à sa famille à Rennes. Une campagne publicitaire ciblant ces trois lieux sur quelques semaines identifiera un utilisateur commun aux trois zones. La probabilité qu’un autre individu corresponde est infime : derrière ce MAID pourtant anonyme se cache bien M. Bernard.
Une fois ce MAID collecté, l’opérateur d’ADINT se glisse à nouveau dans le système publicitaire en se faisant passer pour un simple annonceur. Il utilise les plateformes d’enchères en temps réel pour diffuser des publicités ciblées aux personnes qu’il souhaite surveiller. L’affichage ou le clic sur une publicité déclenche un mécanisme d’exfiltration de données complètement légal. Sans qu’il le sache, le smartphone de M. Bernard transmet des informations d’apparence anodines à l’attaquant, via la plateforme publicitaire, qui sont ensuite analysées et agrégées pour créer son profil numérique complet : habitudes de navigation, applications utilisées, centres d’intérêt, déplacements…
Les capacités de l’ADINT : de la collecte d’information à la géolocalisation
L’étude « Exploring ADINT: Using Ad Targeting for Surveillance on a Budget, or How Alice Can Buy Ads to Track Bob », publiée par des chercheurs de la Paul G. Allen School of Computer Science & Engineering aux États-Unis, a été l’une des premières à démontrer les capacités vertigineuses de l’ADINT. Cette étude a notamment montré qu’il était possible de suivre les déplacements d’un utilisateur sur un trajet domicile-travail, avec une précision d’environ 8 mètres et presque en temps réel, la seule condition étant que la cible utilise une application qui diffuse de la publicité et reste au même endroit pendant 4 minutes au moins.
L’étude des applications utilisées peut quant à elle révéler des informations sensibles, telles que les croyances religieuses (Quran Pro, Bible.audio…) ou l’orientation sexuelle (Grindr, une application de rencontre pour personnes homosexuelles). Une étude macro des données permet également de déterminer la composition d’un groupe d’individus présents à un endroit précis, que ce soit un lieu de culte, une institution ou des installations militaires.
La publicité comme vecteur de cyberattaques
L’ADINT ne se limite pas à la collecte de données : il peut servir d’arme directe contre une cible. Toujours selon la même étude, 80% des fournisseurs de publicités ciblées étudiés permettent de distribuer du contenu Flash ou HTML5, offrant à l’assaillant un plus grand champ d’action – installation de cookies, extraction du MAID, exécution de scripts à distance, etc. Une publicité taillée sur mesure pour une cible peut également être un vecteur idéal pour une campagne de phishing ou une attaque de type watering hole, où un clic sur une publicité redirige la victime vers un site piégé.
Ainsi, en 2022, le groupe de cybercriminels « DEV-0569 » s’illustrait en diffusant le malware « BatLoader » au moyen d’une campagne publicitaire via Google Ads. Les fournisseurs de publicité mettent évidemment en place des protections et des analyses des contenus publicitaires avant leur déploiement, mais celles-ci sont souvent automatisées et plus ou moins sophistiquées, et donc loin d’être infranchissables pour les attaquants les plus expérimentés.
L’ADINT, un marché en plein essor
L’ADINT est particulièrement inquiétant car il est accessible à un large éventail d’acteurs. Un groupe d’individus mal intentionnés peut, avec un budget modeste, lancer une campagne d’ADINT pour suivre ou récolter des informations sur une personne (environ 1000 dollars selon l’étude de la Paul G. Allen School of Computer Science & Engineering). Les budgets les plus conséquents, à partir de quelques dizaines de milliers d’euros, peuvent rapidement verser dans la surveillance de masse.
L’ADINT peut être si puissant qu’il est devenu un business lucratif pour une poignée d’entreprises à travers le monde, qui vendent leurs services à un large éventail de clients, incluant des gouvernements, des forces de l’ordre et des entreprises privées. Leurs logiciels, capables de transformer des publicités en outils de surveillance et d’infection, sont, à l’instar du célèbre logiciel espion Pegasus, particulièrement prisés par les régimes autoritaires qui cherchent à contrôler leurs populations et à museler leurs opposants.
Venntel et PlanetRisk, des fleurons américains
Certaines des entreprises proposant de l’ADINT sont nées aux États-Unis, comme Venntel, connue pour travailler avec le FBI et le département américain de la sécurité intérieure. L’entreprise avait déjà fait une incursion dans la presse en 2020, quand Business Insider l’avait taxée d’aider les services d’immigration à localiser des clandestins traversant la frontière mexicaine grâce aux données cellulaires.
PlanetRisk est une autre société américaine connue pour ses activités d’ADINT, spécialisée dans l’analyse de données et la surveillance géospatiale utilisant la publicité ciblée. D’après Wired, son logiciel Locomotive, renommé par la suite VISR (Virtual Intelligence, Surveillance, and Reconnaissance), aurait été utilisé pour suivre les déplacements de Vladimir Poutine, notamment en traçant les téléphones de son entourage proche comme ses chauffeurs et sa famille.
Un secteur dominé par les entreprises de la tech israélienne
Si les États-Unis n’ont pas à rougir de leurs fleurons, la première place du podium de l’ADINT est incontestablement occupée par des entreprises de la Silicon Wadi, la Silicon Valley israélienne, réputée pour ses technologies de surveillance et de spyware (logiciels espions). Parmi elles, Intelos, Bsightful, Insanet et son logiciel baptisé avec goût Sherlock, ou encore Rayzone et son service ECHO. La plaquette commerciale d’ECHO affirme qu’il serait capable de « collecter des métadonnées à partir de tout type de trafic Internet, quel que soit l’appareil », sans que la cible ne soit « consciente de la surveillance ou ne puisse l’éviter ». Rien d’impossible à croire, l’entreprise ayant déjà prouvé sa compétence technique avec sa plateforme d’investigation TA9, basée sur le Big Data et utilisée par différentes forces de l’ordre dont la police fédérale belge.
Début 2024, c’est la société israélienne Patternz qui faisait parler d’elle, après qu’une enquête de 404 Media ait mis en lumière son outil du même nom, capable de tracer des milliards de profils téléphoniques via l’industrie de la publicité. Suite à la publication de l’article, Google a pris des mesures pour limiter l’accès de l’entreprise à ses plateformes publicitaires. Une décision saluée par le sénateur américain Ron Wyden, qui alertait Google depuis 2021 sur les activités de Nuviad, la branche commerciale de Patternz.
Mais le monde des spywares israéliens fonctionne comme l’hydre de Lerne, et une tête coupée en fait pousser deux autres. Selon Intelligence Online, le directeur technique de Patternz, Yigal Unna, avait travaillé auparavant chez NSO Group, où il aurait dirigé l’équipe à l’origine du logiciel espion Pegasus, et travaillé sur son architecture. Ce même groupe NSO n’a d’ailleurs pas manqué de flairer le potentiel de l’ADINT, puisque le journal israélien Haaretz rapporte que l’entreprise a développé un produit appelé Truman, basé sur la publicité en ligne. Cependant, la société n’a pas obtenu de licence pour vendre son produit, contrairement à Insanet qui est autorisé à distribuer son produit Sherlock.
Des liens étroits avec les services de renseignement israéliens
Il n’est pas surprenant que les mêmes personnes passent d’une entreprise à l’autre, puisqu’elles entretiennent pour beaucoup des liens étroits avec les services de renseignement israéliens, en particulier l’Unité 8200. Une connexion qui découle directement de la volonté de Benjamin Netanyahu de renforcer le complexe militaro-industriel israélien, en introduisant dès 2010 des mesures visant à inciter les anciens membres de l’Unité 8200 à créer leurs propres entreprises. Selon Haaretz, 80% des 2.300 entrepreneurs ayant fondé des sociétés spécialisées dans la cybersécurité en Israël sont d’anciens membres des unités cyber des Forces de Défense Israéliennes (FDI), dont l’Unité 8200. Un des cofondateurs de Rayzone, Yohai Ben-Zakai, est lui-même un ancien directeur adjoint de cette unité.
ADINT : un phénomène difficile, voire impossible à endiguer
Les géants de la publicité, à commencer par Google, sont vivement critiqués pour leur complicité passive dans l’essor de l’ADINT, puisque leurs plateformes publicitaires, fondées sur le système d’enchères en temps réel, sont utilisées pour diffuser des publicités piégées ou à visée de renseignement contre des masses ou des individus ciblés. Il faut dire que les acteurs majeurs du secteur ont peu de raisons de toucher aux rouages bien huilés de la publicité en ligne, qui génère 75% du chiffre d’affaires d’Alphabet (Google) et plus de 98% pour Meta (Facebook, Instagram). Plus généralement, cet écosystème publicitaire est également essentiel à la survie de millions d’entreprises, de médias et d’associations dans le monde, puisqu’il constitue le modèle économique dominant de la plupart des sites web et des applications.
Malgré quelques mesures prises contre certains acteurs de l’industrie comme Patternz, l’ADINT reste aujourd’hui difficile à détecter ou entraver, si ce n’est impossible, car il exploite astucieusement des mécaniques publicitaires et des outils marketing qui, en plus d’être parfaitement légaux, sont extrêmement complexes et opaques. À ce jour, il n’existe aucune protection technique clé en main pour se prémunir d’une opération d’ADINT, si ce n’est l’installation de bloqueurs de publicité (à l’efficacité imparfaite) et une bonne hygiène numérique pour limiter les risques.
Une solution à plus grande échelle pourrait résider dans une exigence de plus grande transparence de la part des plateformes publicitaires et sociales, dont les récents centres de transparence publicitaires laissent à désirer (Google Ads Transparency, Meta Ads Library, TikTok Ads Library). Cependant, la tendance ne semble pas aller vers plus de transparence, les géants de la tech américaine semblant s’aligner sur les positions de Donald Trump et Elon Musk, X étant ouvertement hostile à l’idée et le groupe Meta ayant assoupli ses règles de modération et mis fin à son programme de fact-checking.
Sébastien Palais pour le Club Cyber de l’AEGE
Pour aller plus loin :
- Guerre informationnelle et vol de données : l’usage méconnu des Evils Twins en Wi-Fi
- Le crime organisé dans le cyber : le pouvoir des entreprises de services numériques face aux États
- AirCyber : les enjeux de sécurisation de la supply chain aéronautique