Quelques centaines d’euros, et des connaissances techniques de base : voilà les seuls outils nécessaires pour suivre à la trace les déplacements et les actions d’un particulier, par le biais des publicités ciblées qui s’affichent dans les applications mobiles de nos téléphones. C’est la conclusion d’une très complète étude (PDF) menée par des chercheurs de l’université de Washington, publiée dans le magazine IEEE Security & Privacy.

Le système testé par les chercheurs, simple et peu coûteux, se base sur les capacités de ciblage toujours plus fines proposées par les plates-formes publicitaires dites « DSP » (demand side platform). Ces intermédiaires du monde de la publicité en ligne font l’interface entre la demande d’un annonceur et des milliers de sites et d’applications qui proposent d’afficher de la publicité ciblée en temps réel. L’annonceur choisit la population à qui il souhaite présenter sa publicité en fonction de critères plus ou moins larges (centres d’intérêt, géolocalisation, âge, sexe, etc.) et le DSP se charge de « trouver » des internautes correspondant à ce profil.

Par le numéro d’identifiant publicitaire

Mais ce ciblage très fin peut facilement être utilisé pour traquer un internaute précis. Pour ce faire, il faut dans certains cas obtenir le numéro d’identifiant publicitaire de son téléphone – seule partie de la procédure un peu complexe. Une fois la « cible » identifiée, une vaste gamme de techniques d’espionnage est alors possible. Il est par exemple imaginable de savoir quand une personne se rend dans un lieu précis, de suivre grossièrement ses déplacements au fil de la journée, ou encore de savoir si elle utilise des applications de rencontre ou de prière.

Le protocole utilisé par les chercheurs reste en partie grossier – pour que cette « attaque publicitaire » fonctionne, il faut que l’internaute ouvre une application et que la publicité s’affiche. Il ne s’agit donc pas d’une surveillance permanente ou infaillible, mais les chercheurs eux-mêmes ont constaté qu’elle pouvait être extrêmement précise, en fournissant une géolocalisation à huit mètres près de leurs « cibles », le tout sans que la personne espionnée ait besoin de cliquer sur une publicité, le simple fait qu’elle s’affiche suffit à préciser la localisation.

Le fait que les publicités ciblées représentent un danger pour la vie privée est loin d’être une révélation. Les documents rendus publics par le lanceur d’alerte Edward Snowden en 2013 montraient déjà que l’agence nationale de la sécurité américaine, la NSA, tirait parti de l’infrastructure publicitaire pour collecter massivement des données personnelles sur les internautes. Mais les chercheurs de l’université de Washington démontrent qu’il n’y a pas besoin d’avoir les capacités techniques d’une agence de renseignement pour exploiter ces données.

A la portée de tous, sans moyens importants

Les scénarios d’attaque décrits par les chercheurs sont à la portée de tout particulier ou groupe ne disposant pas d’importants moyens. Notamment parce que le système de « double enchères » qui prévaut sur le marché publicitaire – l’annonceur ne paye que le prix de la deuxième enchère la plus élevée – a rendu les publicités ciblées très bon marché, tant qu’elles ne cherchent pas à cibler des groupes démographiques très courus des annonceurs. Afficher une publicité à destination d’une personne ou d’autres situées dans un espace géographique très limité ne coûte que quelques centimes d’euro.

Plus inquiétant encore, les chercheurs notent que les contrôles que sont censés exercer les DSP sur les demandes de leurs clients sont au mieux lacunaires. Certaines des sociétés dont les services ont été utilisés pour cette expérience ne contrôlent que très marginalement le contenu des publicités qui leur sont soumises. Et « alors que nous avons envoyé des demandes très étranges par rapport à celles qu’enverrait un annonceur normal, nous n’avons jamais reçu aucun avertissement ou retour négatif des DSP durant les trois mois d’utilisation », affirment les chercheurs.