Des chercheurs français démontrent que les applications mobiles peuvent identifier de façon unique chaque appareil et donc chaque utilisateur sans recourir à aucun identifiant traditionnel. Une menace discrète, massive, et sous-estimée dans les politiques de sécurité des entreprises.
On connaît les cookies, on surveille les adresses IP, on gère les identifiants matériels. Mais le fingerprinting, l’empreinte numérique silencieuse, est plus discret. Des travaux menés conjointement par Pierre Laperdrix, chercheur CNRS au sein de l’équipe Spirals (Inria Lille/CRIStAL), Walter Rudametkin, professeur à l’Université de Rennes (équipe DiverSE), et Sihem Bouhenniche, doctorante, viennent de mettre en lumière l’ampleur réelle de ce risque sur les smartphones.
Le principe : vous êtes unique, même sans le vouloir
Les applications mobiles peuvent accéder par défaut à de grandes quantités d’informations stockées sur nos smartphones. Ces données sont largement suffisantes pour identifier chaque appareil de façon précise. Pas besoin d’un accès à l’IMEI, pas besoin de permissions spéciales : la combinaison de métadonnées anodines, version du système, configuration matérielle, capteurs, préférences locales, suffit à créer une signature unique et persistante.
L’équipe s’appuie sur une décennie de recherches sur le fingerprinting par navigateur web. Elle étudie comment des informations telles que la version du navigateur, les langues préférées ou le fuseau horaire, officiellement utilisées pour optimiser la navigation, peuvent être exploitées pour créer une “empreinte” unique par utilisateur. L’extension de cette logique au monde applicatif mobile représente un saut qualitatif dans le niveau de menace.
Ce que ça signifie pour les DSI
Le fingerprinting mobile ne se limite pas à une nuisance publicitaire. Il constitue un outil supplémentaire permettant à des acteurs malveillants de construire des profils utilisateurs très détaillés, et pourrait ouvrir la porte à des abus sérieux. Dans un contexte professionnel, cela concerne directement la traçabilité des collaborateurs, la corrélation de comportements entre applications, et le contournement des politiques de cloisonnement des données.
Si un utilisateur supprime ses cookies entre deux visites pour se protéger, un site peut malgré tout l’identifier via son empreinte. La même logique s’applique aux applications métier installées sur des terminaux d’entreprise.
Une publication de référence, une reconnaissance scientifique
Les trois chercheurs ont choisi de publier leurs résultats et de les présenter au Privacy Enhancing Technologies Symposium (PETS), qui se tiendra au Canada en juillet 2026. Leur article, accepté en janvier, a été nominé à la deuxième place du Best Student Paper Award, Sihem Bouhenniche en étant l’auteure principale.
Dans une démarche de “responsible disclosure”, ils partagent le code source de leur application AmiUnique ainsi que les analyses statistiques ayant permis d’identifier les attributs les plus pertinents pour le fingerprinting. L’idée : des acteurs malveillants auraient de toute façon pu les trouver facilement, tandis que ceux qui cherchent à résoudre ces problèmes méritent tout le soutien possible.
Les détails techniques de la recherche sont disponibles directement sur la page Inria dédiée.
