Pensée pour vendre des espaces publicitaires en quelques millisecondes, l’infrastructure AdTech peut aussi servir à profiler, localiser et cibler des individus. Une analyse de Sekoia documente la montée en puissance de l’ADINT, une forme de renseignement fondée sur les données publicitaires. Un sujet qui dépasse désormais largement le cadre de la vie privée.
La publicité en ligne n’a jamais été neutre. Elle observe, classe, segmente, mesure et anticipe. C’est même sa raison d’être. Mais ce qui relevait hier du marketing comportemental glisse aujourd’hui vers un terrain plus sensible, celui du renseignement, de la surveillance et, dans certains cas, de l’intrusion.
Dans un rapport récent, les équipes Threat Detection & Research de Sekoia s’intéressent à une notion encore peu connue du grand public : l’ADINT, pour Advertising-based Intelligence. Comprenez l’exploitation des mécanismes de la publicité numérique pour collecter, corréler et opérationnaliser des données à des fins de renseignement.
Dit autrement, les mêmes tuyaux qui permettent de cibler une publicité pour des chaussures, un voyage ou une assurance peuvent aussi servir à suivre des déplacements, identifier des groupes sensibles, repérer des habitudes, voire préparer des opérations offensives. Ce qui nous oblige à regarder l’AdTech non plus seulement comme un sujet de marketing ou de conformité RGPD, mais comme une infrastructure critique de données.
Des enchères publicitaires aux signaux de renseignement
Au cœur de ce sujet se trouve le fonctionnement de la publicité programmatique, et notamment le real-time bidding, ou RTB. Lorsqu’un internaute ouvre une page web ou une application comportant un emplacement publicitaire, une enchère se déclenche automatiquement. En quelques millisecondes, des informations liées à l’utilisateur, à son appareil, à sa localisation approximative ou à ses centres d’intérêt sont transmises à plusieurs acteurs susceptibles d’acheter l’espace publicitaire.
Le problème ne vient pas seulement du gagnant de l’enchère. Il vient de l’architecture elle-même. De nombreux acteurs peuvent recevoir des signaux, même lorsqu’ils ne remportent pas l’impression publicitaire. Et une fois accumulés, recoupés et associés à des identifiants publicitaires mobiles, ces signaux permettent de reconstituer des profils très précis.
L’ADINT exploite précisément cette faiblesse structurelle. Il ne s’agit pas d’un piratage classique. Il ne s’agit pas non plus de malvertising opportuniste visant à diffuser massivement un contenu malveillant. Il s’agit d’une utilisation détournée, organisée et ciblée d’une infrastructure légitime.
Cela montre que le risque peut aussi venir d’acteurs commerciaux, de courtiers en données, de sociétés de surveillance privées ou d’organisations capables d’acheter, d’agréger et d’exploiter des données issues de l’écosystème publicitaire.
Profilage, géolocalisation, intrusion : trois niveaux de risque
Sekoia distingue trois grands niveaux d’usage de l’ADINT.
Le premier est passif. Il consiste à exploiter les données publicitaires pour identifier des tendances, des groupes, des habitudes de déplacement ou des lieux fréquentés. À ce stade, l’objectif n’est pas nécessairement de suivre une personne en particulier, mais de comprendre des comportements collectifs. Cela peut suffire à cartographier des communautés professionnelles, des employés de secteurs sensibles, des personnes se rendant régulièrement dans des bâtiments stratégiques ou des individus partageant des routines similaires.
Le deuxième niveau est actif. Il repose sur le suivi quasi temps réel d’un individu déjà identifié, notamment à partir de son identifiant publicitaire mobile. Ce type d’approche peut permettre de vérifier qu’un appareil se trouve à un endroit donné, à un moment donné, sans nécessairement avoir besoin d’afficher une publicité à l’utilisateur. Le simple fait qu’un signal corresponde à une cible peut produire une information exploitable.
Le troisième niveau est offensif. C’est le plus inquiétant. Il ne s’agit plus seulement de collecter des données ou de localiser un appareil, mais d’utiliser les mécanismes de diffusion publicitaire comme vecteur d’infection. Dans certains scénarios documentés par des enquêtes et des travaux de recherche, la publicité devient alors un moyen de livrer un contenu malveillant à une cible, potentiellement sans interaction de l’utilisateur.
Cette évolution s’inscrit dans un contexte plus large. Les vendeurs de solutions de surveillance commerciale sont de plus en plus exposés juridiquement lorsqu’ils exploitent des failles dans les messageries ou les systèmes mobiles. Les affaires visant des acteurs comme NSO ont montré que les vecteurs d’intrusion classiques deviennent plus coûteux, plus surveillés et plus risqués. L’AdTech offre alors une alternative tentante : une infrastructure mondiale, distribuée, automatisée et conçue pour toucher des individus très précisément.
Le vrai problème : une infrastructure conçue pour l’efficacité, pas pour la sécurité
La publicité programmatique a été pensée pour maximiser la vitesse, la personnalisation et le rendement économique. Pas pour limiter drastiquement la circulation des données. Pas pour empêcher les recoupements abusifs. Pas pour traiter chaque signal publicitaire comme une donnée potentiellement sensible.
Les SDK intégrés dans les applications mobiles ajoutent une couche supplémentaire de complexité. Ces briques logicielles fournies par des tiers servent souvent à mesurer l’audience, afficher des publicités, analyser les usages ou suivre les performances d’une application. Mais lorsqu’elles sont intégrées dans des milliers d’applications, elles peuvent aussi capter des volumes considérables de données. Et si l’application dispose d’autorisations sensibles, comme la localisation, le SDK peut en bénéficier indirectement.
L’utilisateur, lui, n’a pratiquement aucune visibilité sur cette chaîne. Il voit une application, une bannière, un bouton de consentement, parfois un bandeau cookies. Il ne voit pas les enchères, les intermédiaires, les courtiers, les recoupements et les reventes potentielles. Le consentement devient alors un mirage, noyé dans des interfaces complexes et des choix rarement compris.
Pour les entreprises, le sujet dépasse largement la conformité. Il concerne la protection des collaborateurs, des dirigeants, des sites sensibles, des déplacements professionnels, des événements stratégiques et des communautés métiers exposées. Une organisation peut investir dans la cybersécurité de son système d’information tout en laissant fuiter, par l’écosystème publicitaire, des signaux comportementaux sur ses employés, ses implantations ou ses activités.
Le risque est encore plus fort pour les secteurs régaliens, la défense, l’énergie, la recherche, les infrastructures critiques, la santé, la finance ou les technologies sensibles. Dans ces environnements, la donnée de localisation ou le profil publicitaire ne sont pas de simples attributs marketing. Ce sont des signaux faibles qui peuvent devenir des renseignements opérationnels.
L’AdTech doit entrer dans le périmètre de la confiance numérique
L’ADINT nous oblige à élargir la notion de surface d’attaque. La cybersécurité ne peut plus se limiter aux postes de travail, aux serveurs, aux identités, aux applications métiers et aux clouds. Elle doit aussi intégrer les écosystèmes de données tiers, les SDK, les partenaires marketing, les plateformes publicitaires et les flux invisibles qui accompagnent la navigation quotidienne.
Cela ne signifie pas que toute publicité en ligne est une arme de surveillance, mais cela montre que l’infrastructure publicitaire peut être détournée, industrialisée et exploitée par des acteurs qui n’ont plus grand-chose à voir avec le marketing.