ADINT - OPSEC = PEBCAK
Sept ans après les premières révélations concernant la possibilité de géolocaliser des militaires et membres de services de renseignement, voire même d’identifier leurs domiciles et véritables identités, via la géolocalisation de leurs téléphones portables, une nouvelle enquête vient remettre le couvert.
Des journalistes de « L’Œil du 20 heures » de France Télévisions et de Franceinfo racontent s’être fait passer pour une entreprise de marketing fictive auprès d’un « data broker » états-unien. Ce dernier leur a expliqué disposer de données émanant de 25 millions de téléphones portables en France, et être en capacité de leur fournir « plus d’un milliard de points GPS au mètre et à la minute près, à travers tout le pays » pour seulement quelques milliers d’euros par mois :
« Cela vous coûterait entre 7 500 et 10 000 dollars par mois d’avoir ces données, c’est le prix en ce moment pour les données françaises. Vous êtes une petite boîte, donc on vous fait un bon prix. »
« Nous respectons la législation européenne, plein d’entreprises utilisent nos données pour des campagnes d’affichage dans la rue, ou de la publicité ciblée », ajoutait le broker, sans pour autant préciser d’où provenaient les données.
15 minutes seulement après être entrés en contact avec l’un de ses concurrents, ils se voyaient proposer un échantillon commercial gratuit constitué de plusieurs centaines de fichiers, couvrant une période de deux semaines en janvier 2025.
Les données, émanant de 11,7 millions de téléphones et totalisant plus d’un milliard de coordonnées GPS, sont a priori anonymes, et uniquement reliées aux identifiants publicitaires associés aux téléphones.
Traquer des convoyeurs de fonds ou membres de la DGSE jusqu’à leurs domiciles
Les journalistes ont cela dit pu identifier 400 téléphones bornant au siège de France Télévisions, suivre en particulier les déplacements de l’une de ses employés, mais aussi et surtout ceux de convoyeurs de fonds de la Brink’s, jusqu’à leurs domiciles.
Contactée, la société de sécurité explique que leurs téléphones professionnels « ne sont pas traçables », qu’il est impossible d’y télécharger une application, et qu’il leur est pourtant demandé d’éteindre leurs téléphones personnels au travail.
Les données ont également permis aux journalistes d’identifier 366 téléphones géolocalisés à l’Élysée, 440 au ministère des Affaires étrangères, et des centaines d’autres dans d’autres ministères, centrales nucléaires et bases militaires, notamment.
Plus inquiétant : ils en ont même identifié 749 au Fort de Noisy, une emprise de la DGSE à Romainville, en Seine-Saint-Denis (les points laissent cela dit supposer qu’un certain nombre émanerait de personnes identifiées aux abords immédiats du Fort, sans forcément y être entrés, la géolocalisation n’étant pas précise au mètre près), et « 37 téléphones qui bornent régulièrement dans l’enceinte » du centre parachutiste d’entraînement spécialisé (CPES) du Service Action de la DGSE à Cercottes, dans le Loiret :
« Des trajets entre le fort de Noisy et Cercottes permettent de conclure qu’il s’agit de membres de la DGSE. S’il est impossible de connaître leur fonction exacte, il est aisé d’en apprendre beaucoup sur ces personnes. On peut ainsi savoir où elles font leurs courses, mais aussi où elles passent leurs soirées. »
Ils auraient également réussi à identifier les domiciles de plusieurs personnes travaillant pour le service de renseignement, ou encore à « retrouver des identités probables de personnes passant leurs journées au camp de Cercottes », et même à remonter jusqu’à des comptes de réseaux sociaux.
Un problème dûment identifié depuis (au moins) 7 ans
Contactée, la DGSE « ne fera pas de commentaire sur la manière dont on appréhende l’existence de ces données », précisant cela dit qu’il s’agit « de choses qui sont effectivement connues ».
Le fait de pouvoir identifier des militaires et employés de services de renseignement à partir des données de géolocalisation de leurs téléphones portables est connu depuis au moins 2018, après qu’un OSINTeur a identifié sur le réseau social de sportifs Strava des forces spéciales en Irak et en Syrie, et l’auteur de ces lignes des agents de la DGSE (et de la DGSI, aussi).
Quand j'ai trouvé un joggeur se géolocalisant au QG de la DGSE, j'ai demandé à un ancien ce qu'il risquait: "cher, sauf s'ils sont plusieurs: dur d'en sanctionner un et pas les autres".
— jean marc manach (@manhack) March 30, 2018
Au final, j'en ai trouvé plus de 25 (à la DGSI aussi)… dont le n°2 :https://t.co/SuPMgjlaNF
Next avait également raconté comment nous avions, dans la foulée, été en mesure de géolocaliser et d’identifier des centaines d’agents de service de renseignement états-uniens, britanniques et israéliens, pendant quatre ans, sans que leurs services de contre-espionnage respectifs ne s’en aperçoivent.
Ce n’est qu’après avoir été dénoncé au Mossad par un OSINTeur israélien que notre compte Strava fut finalement coupé. Fin 2024, Le Monde avait de son côté raconté dans ses « StravaLeaks » comment le réseau social de sportifs lui avait permis d’identifier et suivre les déplacements de gardes du corps des présidents français, russes et états-uniens.
L’ADvertising INTelligence (ADINT), nouvel or noir des services de renseignement
Nicolas Lerner, directeur général de la sécurité extérieure (DGSE), avait de son côté opportunément pointé du doigt les problèmes, encore plus grands, que semblaient lui poser l’ADINT (pour ADvertising INTelligence), du nom donné à la collecte de données publicitaires, potentiellement encore plus intrusives.
Faisant suite à d’autres investigations de ce type effectuées aux USA, en Norvège, aux Pays-Bas et en Suisse, BR, le service public audiovisuel de la Bavière) et le média indépendant netzpolitik.org avaient eux aussi révélé, dans toute une série d’articles, qu’il était possible de géolocaliser des personnes à l’intérieur de bâtiments de l’armée et des services de renseignement allemands, mais également dans les installations américaines sensibles en Allemagne, où les États-Unis maintiennent une force d’au moins 35 000 soldats.
Intelligence Online relève pour sa part, en réaction aux « TrackingFiles », que « l’achat de données publicitaires et de géolocalisation via des brokers spécialisés est, depuis un certain temps déjà, utilisé par la plupart des services de renseignement pour leur propre collecte » :
« La pratique a déjà ses acronymes, signe de son institutionnalisation dans les communautés du renseignement : les Commercially Available Information (CAI) et le Commercially Sourced Intelligence (CSINT) du point de vue des services, l’ADINT (Advertising Intelligence) du point de vue des opérateurs commerciaux. »
Une pratique répandue qui rend d’autant plus étonnant le fait que, sept ans après les premières révélations au sujet de Strava, des dizaines voire centaines d’agents de la DGSE continuent de se géolocaliser à l’intérieur des emprises du service de renseignement. Signe que les bases de l’OPSEC (pour « OPerations SECurity », Sécurité opérationnelle en français), à savoir le fait de se protéger des risques autres que ceux relatifs à la cybersécurité, semblent encore être ignorées.
Il leur suffirait pourtant, tout simplement, de ne pas laisser la géolocalisation activée par défaut sur leurs téléphones, et de ne la réactiver qu’en cas de nécessité, et uniquement en dehors des emprises militaires. L’Œil du 20 heures précise qu’il est aussi possible de réinitialiser l’identifiant publicitaire associé à son téléphone et qui permet de suivre ses déplacements et utilisations.