TrackingFiles : des agents de la DGSE ont (encore) été géolocalisés via leurs portables

ADINT - OPSEC = PEBCAK

Sept ans après les premières révélations concernant la possibilité de géolocaliser des militaires et membres de services de renseignement, voire même d'identifier leurs domiciles et véritables identités, via la géolocalisation de leurs téléphones portables, une nouvelle enquête vient remettre le couvert.

Jean-Marc Manach

Le 07 mars à 16h41

7 min

Sécurité

Des journalistes de « L'Œil du 20 heures » de France Télévisions et de Franceinfo racontent s'être fait passer pour une entreprise de marketing fictive auprès d'un « data broker » états-unien. Ce dernier leur a expliqué disposer de données émanant de 25 millions de téléphones portables en France, et être en capacité de leur fournir « plus d'un milliard de points GPS au mètre et à la minute près, à travers tout le pays » pour seulement quelques milliers d'euros par mois :

« Cela vous coûterait entre 7 500 et 10 000 dollars par mois d'avoir ces données, c'est le prix en ce moment pour les données françaises. Vous êtes une petite boîte, donc on vous fait un bon prix. »

« Nous respectons la législation européenne, plein d'entreprises utilisent nos données pour des campagnes d'affichage dans la rue, ou de la publicité ciblée », ajoutait le broker, sans pour autant préciser d'où provenaient les données.

15 minutes seulement après être entrés en contact avec l'un de ses concurrents, ils se voyaient proposer un échantillon commercial gratuit constitué de plusieurs centaines de fichiers, couvrant une période de deux semaines en janvier 2025.

Les données, émanant de 11,7 millions de téléphones et totalisant plus d'un milliard de coordonnées GPS, sont a priori anonymes, et uniquement reliées aux identifiants publicitaires associés aux téléphones.

Traquer des convoyeurs de fonds ou membres de la DGSE jusqu'à leurs domiciles

Les journalistes ont cela dit pu identifier 400 téléphones bornant au siège de France Télévisions, suivre en particulier les déplacements de l'une de ses employés, mais aussi et surtout ceux de convoyeurs de fonds de la Brink's, jusqu'à leurs domiciles.

Contactée, la société de sécurité explique que leurs téléphones professionnels « ne sont pas traçables », qu'il est impossible d'y télécharger une application, et qu'il leur est pourtant demandé d'éteindre leurs téléphones personnels au travail.

Les données ont également permis aux journalistes d'identifier 366 téléphones géolocalisés à l'Élysée, 440 au ministère des Affaires étrangères, et des centaines d'autres dans d'autres ministères, centrales nucléaires et bases militaires, notamment.

Plus inquiétant : ils en ont même identifié 749 au Fort de Noisy, une emprise de la DGSE à Romainville, en Seine-Saint-Denis (les points laissent cela dit supposer qu'un certain nombre émanerait de personnes identifiées aux abords immédiats du Fort, sans forcément y être entrés, la géolocalisation n'étant pas précise au mètre près), et « 37 téléphones qui bornent régulièrement dans l'enceinte » du centre parachutiste d'entraînement spécialisé (CPES) du Service Action de la DGSE à Cercottes, dans le Loiret :

« Des trajets entre le fort de Noisy et Cercottes permettent de conclure qu'il s'agit de membres de la DGSE. S'il est impossible de connaître leur fonction exacte, il est aisé d'en apprendre beaucoup sur ces personnes. On peut ainsi savoir où elles font leurs courses, mais aussi où elles passent leurs soirées. »

Ils auraient également réussi à identifier les domiciles de plusieurs personnes travaillant pour le service de renseignement, ou encore à « retrouver des identités probables de personnes passant leurs journées au camp de Cercottes », et même à remonter jusqu'à des comptes de réseaux sociaux.

Un problème dûment identifié depuis (au moins) 7 ans

Contactée, la DGSE « ne fera pas de commentaire sur la manière dont on appréhende l'existence de ces données », précisant cela dit qu'il s'agit « de choses qui sont effectivement connues ».

Le fait de pouvoir identifier des militaires et employés de services de renseignement à partir des données de géolocalisation de leurs téléphones portables est connu depuis au moins 2018, après qu'un OSINTeur a identifié sur le réseau social de sportifs Strava des forces spéciales en Irak et en Syrie, et l'auteur de ces lignes des agents de la DGSE (et de la DGSI, aussi).

Quand j'ai trouvé un joggeur se géolocalisant au QG de la DGSE, j'ai demandé à un ancien ce qu'il risquait: "cher, sauf s'ils sont plusieurs: dur d'en sanctionner un et pas les autres".
Au final, j'en ai trouvé plus de 25 (à la DGSI aussi)... dont le n°2 :https://t.co/SuPMgjlaNF
— jean marc manach (@manhack) March 30, 2018

Next avait également raconté comment nous avions, dans la foulée, été en mesure de géolocaliser et d'identifier des centaines d'agents de service de renseignement états-uniens, britanniques et israéliens, pendant quatre ans, sans que leurs services de contre-espionnage respectifs ne s'en aperçoivent.

Des centaines d’agents de services de renseignement étaient « à poil » sur Strava, depuis 4 ans

Ce n'est qu'après avoir été dénoncé au Mossad par un OSINTeur israélien que notre compte Strava fut finalement coupé. Fin 2024, Le Monde avait de son côté raconté dans ses « StravaLeaks » comment le réseau social de sportifs lui avait permis d'identifier et suivre les déplacements de gardes du corps des présidents français, russes et états-uniens.

L'ADvertising INTelligence (ADINT), nouvel or noir des services de renseignement

Nicolas Lerner, directeur général de la sécurité extérieure (DGSE), avait de son côté opportunément pointé du doigt les problèmes, encore plus grands, que semblaient lui poser l'ADINT (pour ADvertising INTelligence), du nom donné à la collecte de données publicitaires, potentiellement encore plus intrusives.

ADINT : les marchands de pub vendent aussi les données GPS de militaires et d’espions

Faisant suite à d'autres investigations de ce type effectuées aux USA, en Norvège, aux Pays-Bas et en Suisse, BR, le service public audiovisuel de la Bavière) et le média indépendant netzpolitik.org avaient eux aussi révélé, dans toute une série d'articles, qu'il était possible de géolocaliser des personnes à l'intérieur de bâtiments de l'armée et des services de renseignement allemands, mais également dans les installations américaines sensibles en Allemagne, où les États-Unis maintiennent une force d'au moins 35 000 soldats.

Intelligence Online relève pour sa part, en réaction aux « TrackingFiles », que « l'achat de données publicitaires et de géolocalisation via des brokers spécialisés est, depuis un certain temps déjà, utilisé par la plupart des services de renseignement pour leur propre collecte » :

« La pratique a déjà ses acronymes, signe de son institutionnalisation dans les communautés du renseignement : les Commercially Available Information (CAI) et le Commercially Sourced Intelligence (CSINT) du point de vue des services, l'ADINT (Advertising Intelligence) du point de vue des opérateurs commerciaux. »

Une pratique répandue qui rend d'autant plus étonnant le fait que, sept ans après les premières révélations au sujet de Strava, des dizaines voire centaines d'agents de la DGSE continuent de se géolocaliser à l'intérieur des emprises du service de renseignement. Signe que les bases de l'OPSEC (pour « OPerations SECurity », Sécurité opérationnelle en français), à savoir le fait de se protéger des risques autres que ceux relatifs à la cybersécurité, semblent encore être ignorées.

Il leur suffirait pourtant, tout simplement, de ne pas laisser la géolocalisation activée par défaut sur leurs téléphones, et de ne la réactiver qu'en cas de nécessité, et uniquement en dehors des emprises militaires. L'Œil du 20 heures précise qu'il est aussi possible de réinitialiser l'identifiant publicitaire associé à son téléphone et qui permet de suivre ses déplacements et utilisations.

Commentaires (23)

Abonnez-vous pour prendre part au débat

Déjà abonné ? Se connecter

Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.

Accédez en illimité aux articles

Profitez d’un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

lansing Premium

Le 07/03/2025 à 17h05

Pas d'obligations de déposer le téléphone portable à l'entrée (ou brouilleurs 4G....) ?

swiper Premium

Le 07/03/2025 à 17h47

Les brouilleurs ne font pas de différence entre les appareils, brouiller des fréquences revient à bloquer tout appareil qui reçoit et émet dans lesdites fréquences...

Patch Premium

Le 08/03/2025 à 11h22

On peut mettre des listes blanches dans les brouilleurs, pour qu'ils laissent passer certains appareils.

fred42 Premium

Modifié le 08/03/2025 à 11h38

Ce n'est plus un brouilleur dans ce cas mais plutôt un IMSI catcher. Mais ça fait un meilleur travail puisque ça permet d'empêcher les communications ou de les espionner au choix.
Un avis de marché parle de :

solution pour la détection et la neutralisation des communications illicites dans les établissements pénitentiaires

skan

Le 10/03/2025 à 11h58

Bien ça n'empêche pas au téléphone de borner une dernière fois devant la porte. En plus, s'il devient "invisible" le temps des horaires de bureau, on peut même exclure l'hyopthèse d'un piéton longeant la clôture.

Le téléphone perso, reste à la maison.
Ou on y installe un bloqueur de tracker, un contrôle parental ou VPN obligatoire. Après tout les militaires sont en service 24/7, même chez eux leur métier leur impose des contraintes.
Un téléphone de fonction utilisable pour le perso (maison, candicrush, etc) ça leut éviterait d'amener le leur. Et tant pis pour le suivi de la course du midi (ou partenariat avec Décathlon?). Après tout on ne peut pas installer ce qu'on veut sur nos ordis pro non plus.

127.0.0.1

Modifié le 07/03/2025 à 17h14

Quelque-part, dans un lieu de réunion secret d'une agence de renseignement:

- Messieurs, c'est un réussite. Chaque personne se balade en permanence avec un appareil connecté 24/7 au réseau mondial. Notre travail de surveillance des masses s'en trouve grandement facilité.
- Chaque personne ?
- Oui. Tout le monde va pouvoir être espionné.
- Heu, mais, en ce qui concerne nos propres agents ?
- ... damned!

gouge_re Premium

Le 07/03/2025 à 17h42

Avec le "damned" je ne peux m'empêcher d'imaginer le boss avec la voix de Zangdar de Naheulbeuk

Jarodd Premium

Le 07/03/2025 à 18h31

Il leur suffirait pourtant, tout simplement, de ne pas laisser la géolocalisation activée par défaut sur leurs téléphones

Il n'est pas possible de les identifier avec le bornage des téléphones sur les antennes à proximité ? Ou c'est plus compliqué ? Ou ces infos ne sont pas "fournies" aux data-brockers qui aspirent les géoloc ?

J4ai du mal à croire que seule la géoloc est en cause ici. Il y a vraiment des gens qui la laisse activée alors qu'ils ne quittent pas leurs bureaux de la journée ? Je sais qu'on parle de militaires, mais cela me semble un peu gros quand même. Sans même être conscients des risques, ne serait-ce que pour économiser la batterie...

Jean-Marc Manach Équipe

Le 07/03/2025 à 20h51

Le bornage via triangulation (et/ou le wardriving WIFI) est possible, ce pourquoi je précise que la géolocalisation n'est pas au mètre près, et que de nombreux points au Fort de Noisy pourraient émaner de personnes longeant le Fort, sans y être pour autant entrés (et donc des "faux positifs").

Il n'en reste pas moins que le tracking de certains autres points de géolocalisation aurait donc permis d'identifier des portables géolocalisés au Fort de Noisy ET au CPES de Cercottes, notamment (tout comme j'avais identifié en 2018 des portables géolocalisés au Fort de Noisy ET à la caserne Mortier, QG de la DGSE à Paris), ainsi qu'à leurs domiciles privés...

Accessoirement, la DGSE emploie aussi des personnels administratifs, cuisiniers, psys, garagistes & Cie, moins au fait des problèmes OPSEC que les "militaires" ; je n'en avais pas moins (& notamment) identifié en 2018 un militaire envoyé en "mission" (a priori secrète) au Moyen-Orient, mais également le n°2 de la DGSE, en charge de la lutte contre le terrorisme, qui se géolocalisait régulièrement au QG de la DGSE mais également... jusqu'à son domicile privé : le PEBCAK ne concerne pas que les trouffions, loin de là :~(

fofo9012 Premium

Le 13/03/2025 à 08h42

Les téléphones remontent aussi les wifi : donc il suffit qu'un gars lance une app "gratuite" avec la géolocatisation pour que ce wifi soit géolocalisé, le broker peut ensuite géolocaliser toute personne voyant ce wifi (sans avoir besoin de demander les droits ou d'activer le GPS donc)
J'ai mis Wifi mais tu peux faiure la même avec Bluetooth...

ImpactID Premium

Le 07/03/2025 à 19h18

Je ne sais pas trop quoi penser des ces affaires. Autant un agent en mission doit être dans la mesure du possible intracable, dans le sens qu'il ne faut pas pouvoir faire de recoupement avec ses activités hors mission. Mais un employé dans le cadre de son métro boulot dodo, tout à chacun peut le suivre à l'ancienne (c-à-d IRL). Donc pas vraiment de quoi fouetter un chat non ?

Dj Premium

Le 07/03/2025 à 20h33

Ben après les gens parlent a la machine a café que "leur téléphones les écoute" car ils ont parlé d'un truc vu sur le net et maintenant leur téléphone leur propose.

Alors qu'ils ont juste passé tous leurs temps de midi avec des gens qui se sont renseigné sur ce truc là, et donc oui les vendeurs de pubs savent qu'il y a un grosse probabilité qu'ils en aient parlé.

Jean-Marc Manach Équipe

Le 07/03/2025 à 20h35

Encore faudrait-il identifier au préalable les personnes susceptibles de travailler au Fort de Noisy ou au CPES de Cercottes (ce qui, a priori, est impossible ou presque)... alors que là, ils ont précisément été identifiés (tout comme cela avait été le cas avec mon enquête de 2018 sur strava.com) parce qu'y ayant été géolocalisés, ce qui pose donc problème, en termes d'OPSEC (et de contre-espionnage).

Ramaloke Premium

Le 07/03/2025 à 21h21

Est-ce que l'on sait par contre quelle sont les revendeurs qui alimentent ces bases revendus ?
Parce que c'est bien beau de dire que c'est la localisation, mais par quoi ?
Je trouve que si Strava/map/fit/garmin etc. Revendent nos donnés gps au mètre près et a la minutes bien plus graves que des gens qui laissent la géolocalisation activé sur plein de site web qui l'a réclament tout le temps(et qui est désactivé par défaut chez moi).

Idem pour Strava d'ailleurs, il faut "choisir" de partager ses donnés pour montrer qu'on a la plus grosse, mais si c'est privé, Strava les revend quand même ?

ImpactID Premium

Le 07/03/2025 à 21h50

Bah, il suffit de regarder qui rentre et sort du fort aux horaires de bureau., si besoin quelques jours d'affilée. Si tu veux son identité, tu le suit et tu fais quelques recoupement. C'est ce que j'appelle à l'enciene. Si on veut savoir (une agence de renseignement, ou une boîte privée), c'est possible sans donnée de tracking. La nouveauté avec le tracking, c'est simplement que c'est bien plus rapide (et accessoirement probablement beaucoup moins cher). Mais ça ne change pas le paradigme du secret.

shulard

Le 08/03/2025 à 10h52

Oui mais le jeu de donnée utilisé ici est l’échantillon gratuit obtenu après quelques négociations…

C’est non seulement moins cher mais aussi beaucoup plus précis à l’échelle et accessible à beaucoup plus de monde avec moins de moyens (pas que financier).

C’est ce changement d’échelle qui est particulièrement inquiétant je trouve. Après est ce que Strava ou autre revend les données même privées difficile de le dire… Même pour des raisons légitimes de géolocalisation (trajet guidé par GPS), il faut quand même faire très attention à quelles applications / outils on utilise…

C’est dingue que dans ces bureaux / institutions les personnes ne soient pas plus sensibles (sensibilisées ?) et que sur un mois de donnée on puisse déjà tirer tant de conclusions…

ilink Premium

Le 08/03/2025 à 23h12

À l’ancienne c’est repérable. Là c’est hyper facile, peu onéreux et presque sans trace.

cacadenez Premium

Le 08/03/2025 à 11h28

[...]mais aussi et surtout ceux de convoyeurs de fonds de la Brink's, jusqu'à leurs domiciles.

Contactée, la société de sécurité explique que leurs téléphones professionnels « ne sont pas traçables », qu'il >est impossible d'y télécharger une application, et qu'il leur est pourtant demandé d'éteindre leurs téléphones >personnels au travail.

C'est énorme ça ! Tu fais signer une charte (enfin, chez Brink's ça doit être un peu plus qu'une charte), l'employé la signe et ensuite, juste il s'en fout. Toi tu touches son salaire et tu t'arraches les cheveux à cause de cons pareils et quand tu demandes un peu plus de fermeté à la direction, on te dit que déjà lui mettre un avertissement c'est chaud.
Autant directement leur acheter une Bouddha box.

Changaco Premium

Le 08/03/2025 à 11h50

C'est bien de rappeler que les individus peuvent agir, mais on sait que ça ne suffira pas à régler le problème. À quand une interdiction européenne de ces reventes massives de données de localisation qui semblent être obtenues via des applications que les utilisateurs installent pour qu'elles leurs fournissent un service et non pour qu'elles les espionnent ? Les entreprises qui les vendent violent-elles déjà le RGPD, quoi qu'elles en disent, ou un changement législatif est-il nécessaire ? La CNIL ou une autre autorité européenne a-t-elle été ou s'est-elle saisie de ce dossier ?

War Machine Premium

Le 09/03/2025 à 11h24

"réinitialiser l'identifiant publicitaire" -> pourquoi ne pas utiliser une app qui régénère cet ID toutes les minutes par exemple ?

HerrFrance Premium

Modifié le 09/03/2025 à 16h21

Probablement difficilement faisable.
Il y a longtemps j'activais automatiquement la géolocalisation quand j'utilisais certaines applications, grâce à Tasker. Maintenant c'est difficilement faisable car Android bloque l'accès pour des raisons de sécurité

LoganMcClay Premium

Le 10/03/2025 à 15h22

Tu peux le supprimer tout simplement et ne plus en utiliser du tout, ce n'est pas recommandé par Google pour des raisons évidentes (€€€€) mais sans identifiant c'est de la pub générique qui t'es renvoyé, et en toute logique tu n'es plus sensé remonter cette donnée là qui n'existe plus.

cracoutech Premium

Le 10/03/2025 à 08h51

Ne peut-on pas imaginer bientôt avoir des enquêtes judiciaires s'appuyant sur ces données ?
Faire exécuter une réquisition auprès d'un data broker étranger est en soi une gageure, et on n'est pas sûr de pouvoir y retrouver la personne recherchée. Mais si on dispose de l'identifiant publicitaire, on peut potentiellement tracer les déplacement d'un suspect 😊
Mais je ne serai pas étonné d'apprendre que des services de police ont utilisé cette méthode.