Teknik - Sold to the highest bidder - the escalation of ADINT from geolocation tracking to intrusion vector (nsec)
15 mai 2026
Parce que... c'est l'épisode 0x311!
Parce que… c’est l’épisode 0x311!
Shameless plug
- 26 et 27 juin 2026 - leHACK
- 30 juin au 2 juillet 2026 - Pass the SALT
- 19 septembre 2026 - Bsides Montréal
- 20 au 26 septembre 2026 - BruCON
- 13 novembre 2026 - DEATHCon
- 16 au 19 novembre - European Cyber Week
- 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026
- 24 et 25 février 2027 - SéQCure 2027
Description
Introduction
Cet épisode spécial, enregistré à Montréal lors de la conférence NorthSec, réunit Coline Chavane et Maxime Arquillière, venus de France présenter leur recherche sur l’ADINT (advertisement-based intelligence). Leur équipe CTI, spécialisée dans le suivi des fournisseurs privés de logiciels espions (spyware) et membre de l’initiative Pall contre les abus de ces technologies, a identifié cette tendance émergente en cherchant à documenter les nouveaux vecteurs d’intrusion utilisés par ces entreprises, au-delà des exploits « zero-click » déjà connus (comme ceux exposés par Citizen Lab ou Amnesty International sur WhatsApp).
Comment fonctionne la publicité en ligne
Coline explique le mécanisme du real-time bidding : en moins de 100 millisecondes, chaque fois qu’un espace publicitaire s’affiche dans une application, un système d’enchères se déclenche. Les données de l’utilisateur (type d’appareil, identifiant publicitaire mobile, centres d’intérêt) sont transmises à de multiples annonceurs qui enchérissent pour diffuser leur publicité. Fait crucial : même les annonceurs qui perdent l’enchère reçoivent ces données, sans qu’aucun contrôle ne soit possible sur leur usage ultérieur. Cet identifiant publicitaire mobile (MAID), censé être pseudo-anonymisé, permet en réalité un suivi cross-plateforme très précis, exploitable à grande échelle pour désanonymiser les individus.
Maxime souligne que ce système est mondialement fragmenté par des cadres légaux disparates (RGPD en Europe basé sur l’opt-in, régimes opt-out ailleurs), créant des zones grises que certaines entreprises exploitent.
Les trois catégories d’ADINT
Les intervenants ont catégorisé les usages détournés de ces données en trois types :
ADINT passif : collecte massive de données publicitaires (directement ou via des data brokers) pour établir des profils. Exemple donné : identifier les employés d’un site sensible (agence de renseignement, site de défense) en observant les téléphones qui s’y rendent quotidiennement, puis recouper avec leur domicile et leurs fréquentations pour du profilage.
ADINT actif : au lieu d’observer passivement, l’acteur configure une alerte déclenchée dès qu’un identifiant mobile spécifique participe à une enchère publicitaire dans un périmètre donné, permettant un suivi quasi temps réel d’une cible précise. Ces données sont ensuite revendues à des gouvernements, forces de police ou entreprises privées.
ADINT offensif : le plus préoccupant, il utilise le processus d’enchère lui-même comme vecteur d’intrusion, en délivrant une publicité vérolée à une cible spécifique pour compromettre son appareil. Documenté notamment par Amnesty International dans les dossiers Intellexa, ce vecteur « stratégique » complète les vecteurs « tactiques » nécessitant une proximité physique.
Un écosystème sophistiqué et concentré
Maxime explique que cette diversification des vecteurs d’intrusion est stratégiquement vitale pour les fournisseurs de spyware, surtout après la condamnation de NSO Group aux États-Unis lui interdisant de cibler WhatsApp — une décision qui menace la viabilité économique d’entreprises dépendantes d’un vecteur unique.
Fait notable révélé par Recorded Future : au sein du consortium lié à Intellexa figure une entreprise publicitaire propriétaire d’un SSP (plateforme utilisée par les éditeurs d’applications), directement intégrée au processus d’enchères. Cela confirme que l’ADINT offensif reste réservé à des acteurs sophistiqués et bien financés, souvent israéliens ou américains, employant d’anciens membres de services de renseignement en cyberintrusion. Ces sociétés se déploient notamment en Asie, marché en expansion, comme l’ont découvert Coline et Maxime via des brochures commerciales trouvées en source ouverte — notamment celles de la société « Patterns », qui vante la désanonymisation à partir d’un simple numéro de téléphone.
Usages à grande échelle et actualité
Interrogés sur des attaques plus larges que le ciblage individuel, les invités distinguent l’ADINT du malvertising (opportuniste et large). Ils citent toutefois un cas documenté en Syrie (2015-2016) où le ciblage publicitaire a servi à comptabiliser et suivre les déplacements de réfugiés fuyant une zone de guerre.
Plus actuel : aux États-Unis, l’agence ICE figure parmi les clients confirmés de solutions incluant des capacités ADINT — une utilisation désormais assumée publiquement, contrairement à des pratiques plus discrètes par le passé.
Protections limitées pour les utilisateurs
Coline note que certaines initiatives existent côté fabricants (comme le Lockdown Mode d’Apple, limitant les permissions de suivi GPS), mais que les utilisateurs disposent de peu de moyens concrets au-delà de l’hygiène numérique de base (refus des cookies, etc.) pour se protéger de ce profilage à grande échelle.
Conclusion
Cette recherche met en lumière un angle mort de la surveillance numérique : un écosystème publicitaire légitime, mondial et extrêmement efficace pour capter des données comportementales, détourné par une industrie grise et bien financée à des fins de renseignement, de profilage et, dans les cas les plus sophistiqués, d’intrusion informatique ciblée.
Notes
Collaborateurs
Crédits
- Montage par Intrasecure inc
- Locaux réels par Northsec
Tags: broker, data
Tweet












