vie privée

Comment les smartphones montent un dossier sur vous

Nous décortiquons le mécanisme le plus secret de la surveillance des smartphones à l’aide d’exemples concrets.

Stan Kaminsky
6 Mar 2025

Vous avez probablement déjà entendu la rumeur : nos smartphones sont toujours à l’écoute. Or, la vérité est que nos appareils n’ont pas besoin de le faire. Les informations partagées avec les courtiers en données par pratiquement toutes les applications de votre smartphone, allant des jeux aux applications météo, sont plus que suffisantes pour créer un profil détaillé sur vous. Pendant longtemps, le « suivi en ligne » supposait que les moteurs de recherche, les systèmes publicitaires et les annonces connaissaient tous les sites Internet que vous visitiez. Cependant, depuis la généralisation des smartphones, la situation s’est considérablement aggravée : les annonceurs connaissent désormais les lieux où vous vous rendez physiquement et la fréquence de vos déplacements. Comment font-ils ?

Chaque fois qu’une application mobile s’apprête à diffuser une annonce, une vente aux enchères éclair a lieu pour déterminer l’annonce à afficher en fonction des données communiquées par votre smartphone. Et bien que vous ne voyiez que l’annonce gagnante, chacun des participants à l’enchère reçoit des données sur le destinataire potentiel, c’est-à-dire vous. Une expérience récente a illustré le nombre d’entreprises qui reçoivent ces informations, leur degré de détail et l’inefficacité des fonctions intégrées dans les smartphones, comme « Ne pas suivre » et « Refuser les publicités personnalisées », lorsqu’il s’agit de protéger les utilisateurs. Nous recommandons néanmoins quelques mesures de protection !

Quelles données les annonceurs reçoivent-ils ?

Chaque application mobile est conçue différemment, mais la majorité commence à « divulguer » des données aux réseaux publicitaires avant même d’afficher la moindre annonce. Dans l’expérience évoquée plus haut, un jeu mobile a immédiatement envoyé un grand nombre de données au réseau Unity Ads lors de son lancement :

Informations relatives au smartphone, notamment la version du système d’exploitation, le niveau de la batterie, les paramètres de luminosité et de volume, ainsi que la quantité de mémoire disponible
Données sur l’opérateur réseau
Type de connexion Internet
Adresse IP complète de l’appareil
Code du fournisseur (l’identifiant du développeur du jeu)
Code d’utilisateur unique (IFV), c’est-à-dire un identifiant lié au développeur du jeu et utilisé par un système publicitaire
Un autre code d’utilisateur unique (IDFA/AAID), c’est-à-dire un identifiant publicitaire partagé par toutes les applications sur le smartphone
Localisation actuelle
Consentement au suivi publicitaire (oui/non)

Il est intéressant de noter que les données de localisation sont transmises même si le service est désactivé sur le smartphone. Il s’agit toutefois d’une approximation, calculée à partir de l’adresse IP. Cependant, grâce à des bases de données accessibles au grand public qui font correspondre les adresses physiques et les adresses Internet, cette approximation peut atteindre une précision surprenante – jusqu’au quartier de la ville ou même jusqu’au bâtiment en question. Si les services de localisation sont activés et autorisés pour l’application, des données de localisation précises sont transmises.

Dans cette même expérience, le consentement au suivi publicitaire était marqué comme « Accepté par l’utilisateur », même si l’auteur de l’expérience n’avait pas émis un tel consentement.

Qui reçoit les données et à quelle fréquence ?

Le flux de données est envoyé à toutes les plateformes publicitaires intégrées à l’application. Il existe souvent plusieurs plateformes de ce type, et un algorithme complexe détermine celle qui sera utilisée pour diffuser l’annonce. Cependant, certaines données sont partagées avec tous les réseaux interconnectés, même ceux qui ne diffusent pas d’annonces. Outre Unity (dont la plateforme publicitaire génère 66 % des revenus des développeurs utilisant ce moteur de jeu), les autres plateformes majeures sont celles de Facebook, Microsoft, Google, Apple, Amazon, et des dizaines de sociétés spécialisées comme ironSource.

Ensuite, le réseau publicitaire qui affiche des publicités dans l’application envoie un grand nombre de données concernant l’utilisateur à un système d’enchères en temps réel (RTB). Celui-ci permet à divers annonceurs d’analyser les données et d’enchérir pour diffuser leurs annonces, le tout à une vitesse fulgurante. Vous voyez l’annonce gagnante, mais les informations relatives à votre localisation, combinées à l’heure exacte, à l’adresse IP et à toutes les autres données, sont partagées avec tous les participants à la vente aux enchères. Selon l’auteur de l’expérience, ces données sont collectées par des centaines d’entreprises peu connues, dont certaines pourraient être des sociétés écrans appartenant à des agences de renseignement.

Cette vidéo de l’expérience montre comment les connexions aux serveurs publicitaires ont été effectuées des dizaines de fois par seconde, et même Facebook a reçu des données malgré le fait qu’aucune application Meta n’ait été installée sur le smartphone de l’auteur de l’expérience.

L’illusion de l’anonymat

Les propriétaires de réseaux publicitaires prétendent souvent qu’ils utilisent des données anonymes et dépersonnalisées pour le ciblage publicitaire. En réalité, les systèmes publicitaires prennent bien soin d’identifier avec précision les utilisateurs à travers les différentes applications et appareils.

Dans l’ensemble de données mentionné ci-dessus, deux codes d’utilisateur différents sont indiqués : IFV et IDFA/AAID (IDFA pour Apple et AAID pour Android). Un code IFV distinct est attribué à votre appareil par chaque développeur d’application. Si vous avez trois jeux du même développeur, chacun de ces jeux enverra le même code IFV lors de l’affichage des annonces. Pendant ce temps, les applications d’autres développeurs enverront leurs propres codes IFV. Le code IDFA/AAID, quant à lui, est un identifiant publicitaire unique attribué à l’ensemble du smartphone. Si vous avez accepté la « personnalisation des publicités » dans les paramètres de votre téléphone, tous les jeux et applications de votre appareil utiliseront le même code IDFA/AAID.

Si vous désactivez la personnalisation des annonces ou si vous refusez de donner votre consentement, le code IDFA/AAID est remplacé par des zéros. Toutefois, les codes IFV continueront d’être envoyés. En combinant les données transmises à chaque affichage d’une annonce, les réseaux d’annonces sont en mesure de constituer un dossier détaillé sur les utilisateurs » anonymes « , en reliant leur activité dans différentes applications grâce à ces identifiants. Et dès que l’utilisateur saisit son adresse email, son numéro de téléphone, ses coordonnées de paiement ou son adresse personnelle quelque part (par exemple, lors d’un achat en ligne), l’identifiant anonyme permet d’établir un lien avec ces informations personnelles.

Comme nous l’avons évoqué dans notre article sur la fuite de données de Gravy Analytics, les données de localisation ont une telle valeur que certaines entreprises se faisant passer pour des courtiers en publicité sont créées dans le seul but de les collecter. Grâce au code IFV, et plus particulièrement au code IDFA/AAID, il est possible de cartographier les déplacements de « Monsieur/Madame X » et souvent de désanonymiser l’utilisateur uniquement à l’aide de ces données.

Parfois, une analyse complexe des mouvements n’est même pas nécessaire. Les bases de données reliant les identifiants publicitaires aux noms complets, aux adresses personnelles, aux adresses email et à d’autres détails très personnels peuvent être simplement vendues par des courtiers peu scrupuleux. Dans ce cas, des données personnelles détaillées et un historique complet de la localisation permettraient de constituer un dossier complet sur l’utilisateur.

Comment se protéger du suivi publicitaire ?

En pratique, ni les lois strictes comme le RGPD ni les paramètres de confidentialité intégrés n’offrent une protection complète contre les méthodes de suivi décrites ci-dessus. Le simple fait d’appuyer sur un bouton dans une application pour désactiver la personnalisation des annonces n’est même pas une demi-mesure ; il s’agit plutôt d’un dixième de mesure. En réalité, cette opération ne supprime qu’un seul identifiant des données de télémétrie, tandis que le reste de vos données est toujours envoyé aux annonces.

Des affaires comme la fuite de données de Gravy Analytics et le scandale impliquant le courtier en données Datastream démontrent l’ampleur du problème. L’industrie du suivi publicitaire est énorme et exploite la plupart des applications, et pas seulement les jeux. En outre, les données de localisation sont rachetées par un large éventail d’entités, allant des agences de publicité aux agences de renseignement. Il arrive que des pirates informatiques obtiennent ces informations gratuitement si un courtier en données ne protège pas suffisamment ses bases de données. Pour minimiser les risques de telles fuites, vous devez prendre quelques précautions importantes :

Autorisez l’accès à la localisation uniquement pour les applications qui en ont réellement besoin pour leur fonctionnalité principale (par exemple, les applications de navigation, les cartes ou les services de taxi). Par exemple, les services de livraison ou les applications bancaires n’ont pas réellement besoin de votre localisation pour fonctionner, sans parler des jeux ou des applications de shopping. Vous pouvez toujours entrer manuellement une adresse de livraison.
De manière générale, accordez aux applications le minimum d’autorisations nécessaires. Ne leur permettez pas de suivre votre activité dans d’autres applications et n’accordez pas un accès complet à votre galerie de photos. Il existe des programmes malveillants capables d’analyser les données des photos à l’aide de l’IA, et des développeurs d’applications peu scrupuleux seraient potentiellement en mesure de faire de même. En outre, toutes les photos prises avec votre smartphone comportent par défaut des balises géographiques, ainsi que d’autres informations.
Configurez un service DNS sécurisé avec une fonctionnalité de filtrage des annonces sur votre smartphone. Cette mesure permettra de bloquer une grande partie de la télémétrie publicitaire.
Essayez d’utiliser des applications qui ne contiennent pas d’annonces. Il s’agit généralement d’applications FOSS (Free Open Source Software) ou d’applications payantes.
Sous iOS, désactivez l’utilisation de l’identifiant publicitaire. Sous Android, supprimez-le ou réinitialisez-le au moins une fois par mois (malheureusement, il ne peut pas être complètement désactivé). N’oubliez pas que ces mesures réduisent la quantité d’informations collectées à votre sujet, mais n’éliminent pas totalement le suivi.
Dans la mesure du possible, évitez d’utiliser la fonction « Se connecter avec Google » ou d’autres services similaires dans les applications. Essayez d’utiliser des applications sans créer de compte. Cette mesure complique la tâche des annonceurs qui souhaitent regrouper votre activité dans différentes applications et différents services en un profil publicitaire unifié.
Réduisez le nombre d’applications présentes sur votre smartphone et supprimez régulièrement les applications inutilisées : elles sont toujours en mesure de suivre votre activité, même si vous ne les utilisez pas activement.
Utilisez des solutions de sécurité robustes sur tous vos appareils, comme Kaspersky Premium Vous serez ainsi protégé contre des applications plus agressives, dont les modules publicitaires peuvent être aussi malveillants que les logiciels espions.
Dans les paramètres de Kaspersky sur votre smartphone, activez les options Anti-bannières et Navigation privée sous iOS, ou Navigation sécurisée sous Android. Il devient ainsi beaucoup plus difficile de vous suivre à la trace.

Si la surveillance des smartphones ne vous préoccupe pas encore, voici quelques histoires troublantes sur les acteurs qui nous espionnent et sur leurs méthodes de surveillance :

Qui sont les courtiers en données de géolocalisation et que se passe-t-il en cas de » fuite » ?

Comment les annonceurs découvrent quelles applications Android vous utilisez

Courir sans être suivi : la protection de la vie privée dans les applications de course à pied

Souviens-toi… comme tu conduisais l’été dernier

et bien d’autres histoires similaires…

Code malveillant sur GitHub : comment les pirates informatiques ciblent les programmeurs

Nous avons découvert plus de 200 référentiels avec de faux projets sur GitHub. En les utilisant, les attaquants distribuent des logiciels voleurs, des clippers et des portes dérobées.

Protection des enfants

Comment les smartphones montent un dossier sur vous

Quelles données les annonceurs reçoivent-ils ?

Qui reçoit les données et à quelle fréquence ?

L’illusion de l’anonymat

Comment se protéger du suivi publicitaire ?

Les pièges de l’amour: arnaques et cyber-fraude

Prendre un selfie avec sa carte d’identité, est-ce dangereux ?

Code malveillant sur GitHub : comment les pirates informatiques ciblent les programmeurs

Conseils

Le cheval de Troie SparkCat envahit l’App Store et Google Play et vole les données des photos

Introduction au spam : qu’est-ce que le spam et comment s’en débarrasser

Comment installer ou mettre à jour les applications Kaspersky sur Android en 2025 ?

Ne saisissez pas vos mots de passe partout où ils vous sont demandés.

Abonnez-vous et recevez tous nos titres à la une par e-mail

Solutions pour les particuliers

TPE

PME

Grande entreprise

Securelist

Eugene Personal Blog

Encyclopédie de Kaspersky