Le piège des métadonnées
Ces données invisibles qui en disent long sur vous
Les métadonnées : qu'est-ce que c'est, et pourquoi s’y intéresser ?
Chaque texte, enregistrement de localisation ou transaction blockchain laisse derrière lui une trace de métadonnées — des données sur vos données. Le contenu importe peu : les métadonnées suffisent à vous identifier. Elles dévoilent vos interactions : avec qui, quand, où et à quelle fréquence — et permettent de cartographier votre vie privée. Par exemple, une photo de vous dans une pièce blanche ne dit pas grand-chose… jusqu’à ce que les métadonnées révèlent où, quand et avec quel appareil elle a été prise.
Les principales conclusions du rapport de Nym
Les métadonnées sont faciles à collecter
La collecte de métadonnées est moins coûteuse, plus rapide et plus simple que l'espionnage du contenu lui-même
Les applis que nous utilisons quotidiennement laissent fuiter nos informations
Les applis de sport, comme Strava, peuvent involontairement exposer des informations géographiques sensibles ou les habitudes des utilisateurs
Les métadonnées compromettent notre vie privée
Les activistes et les journalistes sont particulièrement vulnérables au traçage basé sur les métadonnées
Les métadonnées peuvent lever l’anonymat des transactions crypto
Il est possible, via les métadonnées de la blockchain, de faire le lien entre un wallet et une identité dans le monde réel.
L'IA accélère la surveillance des métadonnées
L'IA permet désormais d'automatiser le ciblage via les métadonnées, avec des conséquences parfois mortelles
La collecte de métadonnées est plus aisée que l'analyse de contenu
La surveillance du contenu est coûteuse et souvent contrecarrée par le chiffrement. Les métadonnées ne le sont pas. Les agences de renseignement ont longtemps favorisé la surveillance des métadonnées car cela contourne de nombreuses protections juridiques appliquées au contenu.
Des programmes comme le PRISM et le Stellar Wind de la NSA ont collecté des métadonnées en vrac (y compris des enregistrements d'appels, des journaux d'IP et des en-têtes d'e-mail) sans mandats. Les interceptions de métadonnées, à la différence des écoutes classiques, peuvent être validées selon des normes juridiques plus flexibles, telles que la doctrine du tiers, selon laquelle l’utilisateur perd son droit à la vie privée en transmettant des métadonnées à un prestataire.
Même après que le USA FREEDOM Act de 2015 a limité la collecte massive de données domestiques par la NSA (Section 215), la surveillance n’a pas cessé — elle a simplement changé de forme. En 2024, États-Unis. Ron Wyden, sénateur américain, a révélé que la NSA se fournit régulièrement en métadonnées via des courtiers de données commerciaux. Parmi ces données figurent les historiques de navigation et les informations téléphoniques de citoyens américains, acquis sans consentement ni surveillance judiciaire.
Strava : l'application de fitness qui a révélé la position de bases secrètes
Des cartes thermiques générées par une appli de fitness ont révélé les déplacements d’utilisateurs ainsi que la localisation de bases militaires. Des métadonnées de fitness prétendument anonymes peuvent, une fois liées à des données de géolocalisation publiques, trahir votre vie privée.
Strava, célèbre appli de fitness, récolte d’importants volumes de données GPS pour tracer les itinéraires d’exercice des utilisateurs. En 2017, une carte thermique mondiale a été publiée par l’entreprise, issue de trois mille milliards de points GPS. Les analystes ont rapidement découvert que cette carte révélait sans le vouloir les dispositions des bases militaires américaines, russes et turques dans des zones de conflit, telles que la Syrie et l'Afghanistan. Bien qu'aucune donnée personnelle n'ait été exposée directement, les métadonnées agrégées ont révélé les itinéraires de patrouille, les périmètres des bases et les zones opérationnelles.
Plus récemment, en 2022, des journalistes du Monde ont montré comment les fonctionnalités sociales de Strava pouvaient être détournées à des fins malveillantes. En simulant des trajets de course autour de bases militaires en Israël, ils ont exploité la fonction “athlètes à proximité” de Strava pour collecter les métadonnées de profils visibles. Cela leur a permis d’identifier des soldats israéliens, de suivre leurs habitudes, et même d’observer leurs déplacements en dehors des bases, dans la vie civile.
TraceTogether : comment une application relative au COVID a été utilisée pour la surveillance
À Singapour, l’application TraceTogether, conçue pour le suivi du COVID-19, a ensuite été utilisée dans le cadre d’enquêtes criminelles. Un rappel inquiétant de la facilité avec laquelle on peut exploiter les métadonnées à des fins de surveillance ou de contrôle.
TraceTogether, l’application singapourienne censée protéger la population du COVID-19, reposait sur un protocole Bluetooth (BlueTrace) pour tracer les contacts. Elle promettait anonymat et respect de la vie privée — mais en réalité, les forces de l’ordre disposaient d’un accès au système, compromettant ces garanties. En 2021, le ministre de l’Intérieur de Singapour a reconnu que la police avait utilisé les données de TraceTogether dans au moins une enquête criminelle, notamment dans une affaire de meurtre.
Cette révélation a contredit les garanties du gouvernement antérieur que les données seraient utilisées exclusivement pour la santé publique. Bien que les utilisateurs aient dû fournir des informations personnelles pour activer l’application, l’hypothèse d’un anonymat a convaincu beaucoup d’entre eux de l’adopter — avant de découvrir que les autorités centrales pouvaient désanonymiser leurs métadonnées.
La blockchain : moins privée que vous ne le pensez
**Même les transactions pseudo-anonymes laissent des métadonnées derrière elles. **Les sociétés de forensic exploitent les schémas de transaction, les fuites d’adresses IP et l’analyse réseau pour relier des portefeuilles à des identités réelles.
Contrairement aux idées reçues, Bitcoin n’est pas vraiment privé : chaque transaction est enregistrée publiquement, générant un vaste ensemble de métadonnées. Les outils d'analyse criminelle comme Chainalysis et Bitquery suivent les modèles de transaction, les fuites d'IP et le comportement des portefeuilles pour relier les adresses pseudonymes à de réelles identités. Les forces de l'ordre les utilisent pour enquêter sur la fraude et le blanchiment d'argent. Mais ces mêmes outils peuvent aussi révéler l’identité de lanceurs d’alerte, d’activistes ou de toute personne utilisant Bitcoin pour préserver sa vie privée.
La recherche académique montre que seuls quelques points de métadonnées sont nécessaires pour déanonymiser les utilisateurs. Des chercheurs sont parvenus à identifier certaines personnes en analysant les transactions Bitcoin, les adresses IP et les habitudes de réutilisation de wallets. D’autres vulnérabilités proviennent des métadonnées au niveau réseau : si un portefeuille se connecte à un ensemble connu de nœuds d’entrée ou divulgue une adresse IP lors d’une diffusion, l’utilisateur peut être identifié, même sans identifiant nominatif. Cette pratique déconstruit le mythe selon lequel l’anonymat est garanti par le simple fait d’utiliser des adresses de portefeuille différentes.
L'IA alimente maintenant le ciblage basé sur les métadonnées
L’IA accélère l’analyse des métadonnées, permettant aux gouvernements et aux acteurs privés d’identifier, profiler et cibler les individus plus rapidement que jamais. Les outils de surveillance exportés par Israël offrent un aperçu inquiétant de ce qui est techniquement réalisable — et déjà mis en œuvre.
Selon plusieurs sources, Israël utilise à Gaza des intelligences artificielles comme Lavender et The Gospel pour automatiser ses choix militaires en se basant sur des métadonnées. Le système Lavender traite les données d’appels, de localisation et les réseaux sociaux pour repérer les individus associés au Hamas. D’après +972 Magazine, le système est capable de désigner automatiquement des cibles à frapper, avec très peu de supervision humaine, en utilisant des métadonnées comme les habitudes d’appels ou les connexions aux tours cellulaires, plutôt que des informations vérifiées.
The Gospel, un autre outil fondé sur les métadonnées, est utilisé pour déterminer quels bâtiments viser, en s’appuyant sur des cartes de chaleur construites à partir de données mobiles pour estimer la présence de civils. Des critiques, dont Human Rights Watch et des experts de l’ONU, alertent sur le fait que ce type d’automatisation abaisse le seuil de recours à la force létale. L’utilisation de métadonnées sans compréhension globale ni analyse humaine rend les erreurs plus probables, avec parfois des conséquences mortelles.
Comment protéger vos métadonnées
Messageries chiffrées
Utilisez des applications chiffrées de bout en bout qui limitent la conservation des métadonnées
Les VPN décentralisés
Masquez votre empreinte numérique avec des VPN et navigateurs axés sur la confidentialité
Désactivez le suivi des applications
Désactivez le suivi inutile de la localisation et des capteurs
Restez vigilant
Réfléchissez avant de partager — les métadonnées révèlent plus que vous ne le pensez
La surveillance par les métadonnées redéfinit la vie privée, la démocratie et la sécurité. Si vous êtes actif dans certains domaines tels que les médias, la politique, la tech ou l'activisme, ce sujet mérite d’être exploré.
Découvrez d’autres analyses de Nym sur les dangers des métadonnées
Qu'est-ce que les métadonnées et que peuvent-elles révéler à votre sujet ?
Comprendre la matière première de la surveillance numérique
Quelle est mon adresse IP ?
Comment n'importe qui peut voir où vous êtes et suivre ce que vous faites en ligne
Quel trafic réseau révèle : Comment se protéger contre l'analyse du trafic
Vos habitudes de circulation sont plus révélatrices que vous ne le pensez. Apprenez à garder votre vie privée en ligne.
NymVPN, c'est bien plus qu'un VPN
The first app that protects you from AI surveillance thanks to a noise-generating mixnet