Metadata surveillance is reshaping privacy, democracy, and security. If you’re a journalist, policymaker, technologist, or activist, let’s talk about it.
The first app that protects you from AI surveillance thanks to a noise-generating mixnet
6 min. de lecture
What is metadata is, and why does it matter?
Metadata is easy to collect
Metadata collection is cheaper, faster, and easier than spying on actual content
Daily apps leaks our information
Fitness apps like Strava can unintentionally reveal sensitive locations and user routines
Metadata undermines our privacy
Activists and journalists are especially at risk from metadata-driven tracking
Metadata deanonymizes crypto
Blockchain metadata can link wallet addresses to real-world identities.
AI accelerates metadata surveillance
AI systems now automate targeting based on metadata, with lethal results
Metadata collection is easier than content surveillance
Encrypted messengers
Use end-to-end encrypted apps that limit metadata retention
Decentralized VPNs
Mask your digital trail with privacy-first VPNs and browsers
Disable app tracking
Disable unnecessary location and sensor tracking
Be vigilant
Think before you share — metadata reveals more than you think
Chaque texte, enregistrement de localisation ou transaction blockchain laisse derrière lui une trace de métadonnées — des données sur vos données. Le contenu importe peu : les métadonnées suffisent à vous identifier. Elles dévoilent vos interactions : avec qui, quand, où et à quelle fréquence — et permettent de cartographier votre vie privée. Par exemple, une photo de vous dans une pièce blanche ne dit pas grand-chose… jusqu’à ce que les métadonnées révèlent où, quand et avec quel appareil elle a été prise.
La surveillance du contenu est coûteuse et souvent contrecarrée par le chiffrement. Les métadonnées ne le sont pas. Les agences de renseignement ont longtemps favorisé la surveillance des métadonnées car cela contourne de nombreuses protections juridiques appliquées au contenu.
Des programmes comme le PRISM et le Stellar Wind de la NSA ont collecté des métadonnées en vrac (y compris des enregistrements d'appels, des journaux d'IP et des en-têtes d'e-mail) sans mandats. Les interceptions de métadonnées, à la différence des écoutes classiques, peuvent être validées selon des normes juridiques plus flexibles, telles que la doctrine du tiers, selon laquelle l’utilisateur perd son droit à la vie privée en transmettant des métadonnées à un prestataire.
Même après que le USA FREEDOM Act de 2015 a limité la collecte massive de données domestiques par la NSA (Section 215), la surveillance n’a pas cessé — elle a simplement changé de forme. En 2024, États-Unis. Ron Wyden, sénateur américain, a révélé que la NSA se fournit régulièrement en métadonnées via des courtiers de données commerciaux. Parmi ces données figurent les historiques de navigation et les informations téléphoniques de citoyens américains, acquis sans consentement ni surveillance judiciaire.
Le piège des métadonnées
Ces données invisibles qui en disent long sur vous
Strava: The fitness app that revealed secret bases
Des cartes thermiques générées par une appli de fitness ont révélé les déplacements d’utilisateurs ainsi que la localisation de bases militaires. Des métadonnées de fitness prétendument anonymes peuvent, une fois liées à des données de géolocalisation publiques, trahir votre vie privée.
Strava, célèbre appli de fitness, récolte d’importants volumes de données GPS pour tracer les itinéraires d’exercice des utilisateurs. En 2017, une carte thermique mondiale a été publiée par l’entreprise, issue de trois mille milliards de points GPS. Les analystes ont rapidement découvert que cette carte révélait sans le vouloir les dispositions des bases militaires américaines, russes et turques dans des zones de conflit, telles que la Syrie et l'Afghanistan. Bien qu'aucune donnée personnelle n'ait été exposée directement, les métadonnées agrégées ont révélé les itinéraires de patrouille, les périmètres des bases et les zones opérationnelles.
Plus récemment, en 2022, des journalistes du Monde ont montré comment les fonctionnalités sociales de Strava pouvaient être détournées à des fins malveillantes. En simulant des trajets de course autour de bases militaires en Israël, ils ont exploité la fonction “athlètes à proximité” de Strava pour collecter les métadonnées de profils visibles. Cela leur a permis d’identifier des soldats israéliens, de suivre leurs habitudes, et même d’observer leurs déplacements en dehors des bases, dans la vie civile.
TraceTogether: How a COVID app was used for surveillance
À Singapour, l’application TraceTogether, conçue pour le suivi du COVID-19, a ensuite été utilisée dans le cadre d’enquêtes criminelles. Un rappel inquiétant de la facilité avec laquelle on peut exploiter les métadonnées à des fins de surveillance ou de contrôle.
TraceTogether, l’application singapourienne censée protéger la population du COVID-19, reposait sur un protocole Bluetooth (BlueTrace) pour tracer les contacts. Elle promettait anonymat et respect de la vie privée — mais en réalité, les forces de l’ordre disposaient d’un accès au système, compromettant ces garanties. En 2021, le ministre de l’Intérieur de Singapour a reconnu que la police avait utilisé les données de TraceTogether dans au moins une enquête criminelle, notamment dans une affaire de meurtre.
Cette révélation a contredit les garanties du gouvernement antérieur que les données seraient utilisées exclusivement pour la santé publique. Bien que les utilisateurs aient dû fournir des informations personnelles pour activer l’application, l’hypothèse d’un anonymat a convaincu beaucoup d’entre eux de l’adopter — avant de découvrir que les autorités centrales pouvaient désanonymiser leurs métadonnées.
Blockchain: Not as private as you think
**Même les transactions pseudo-anonymes laissent des métadonnées derrière elles. **Les sociétés de forensic exploitent les schémas de transaction, les fuites d’adresses IP et l’analyse réseau pour relier des portefeuilles à des identités réelles.
Contrairement aux idées reçues, Bitcoin n’est pas vraiment privé : chaque transaction est enregistrée publiquement, générant un vaste ensemble de métadonnées. Les outils d'analyse criminelle comme Chainalysis et Bitquery suivent les modèles de transaction, les fuites d'IP et le comportement des portefeuilles pour relier les adresses pseudonymes à de réelles identités. Les forces de l'ordre les utilisent pour enquêter sur la fraude et le blanchiment d'argent. Mais ces mêmes outils peuvent aussi révéler l’identité de lanceurs d’alerte, d’activistes ou de toute personne utilisant Bitcoin pour préserver sa vie privée.
La recherche académique montre que seuls quelques points de métadonnées sont nécessaires pour déanonymiser les utilisateurs. Des chercheurs sont parvenus à identifier certaines personnes en analysant les transactions Bitcoin, les adresses IP et les habitudes de réutilisation de wallets. D’autres vulnérabilités proviennent des métadonnées au niveau réseau : si un portefeuille se connecte à un ensemble connu de nœuds d’entrée ou divulgue une adresse IP lors d’une diffusion, l’utilisateur peut être identifié, même sans identifiant nominatif. Cette pratique déconstruit le mythe selon lequel l’anonymat est garanti par le simple fait d’utiliser des adresses de portefeuille différentes.
AI is now powering metadata-based targeting
L’IA accélère l’analyse des métadonnées, permettant aux gouvernements et aux acteurs privés d’identifier, profiler et cibler les individus plus rapidement que jamais. Les outils de surveillance exportés par Israël offrent un aperçu inquiétant de ce qui est techniquement réalisable — et déjà mis en œuvre.
Selon plusieurs sources, Israël utilise à Gaza des intelligences artificielles comme Lavender et The Gospel pour automatiser ses choix militaires en se basant sur des métadonnées. Le système Lavender traite les données d’appels, de localisation et les réseaux sociaux pour repérer les individus associés au Hamas. D’après +972 Magazine, le système est capable de désigner automatiquement des cibles à frapper, avec très peu de supervision humaine, en utilisant des métadonnées comme les habitudes d’appels ou les connexions aux tours cellulaires, plutôt que des informations vérifiées.
The Gospel, un autre outil fondé sur les métadonnées, est utilisé pour déterminer quels bâtiments viser, en s’appuyant sur des cartes de chaleur construites à partir de données mobiles pour estimer la présence de civils. Des critiques, dont Human Rights Watch et des experts de l’ONU, alertent sur le fait que ce type d’automatisation abaisse le seuil de recours à la force létale. L’utilisation de métadonnées sans compréhension globale ni analyse humaine rend les erreurs plus probables, avec parfois des conséquences mortelles.
