Sekoia publie une étude consacrée à l’Advertising-based Intelligence, ou ADINT. Cette pratique détourne les mécanismes de la publicité en ligne à des fins de renseignement, de surveillance et, dans ses formes les plus avancées, d’intrusion. Une évolution qui déplace le sujet au-delà de la seule protection des données personnelles.
Une grille de lecture pour une menace déjà visible
Les risques liés aux données publicitaires ne sont plus théoriques. En décembre 2025, une enquête du Monde avait montré comment des informations issues de l’écosystème publicitaire pouvaient exposer des agents du renseignement, des militaires, des collaborateurs de l’Élysée ou des personnels de l’industrie française de défense. Sekoia propose désormais de qualifier plus précisément cette menace sous le terme d’ADINT, pour Advertising-based Intelligence.
Le principe repose sur un détournement de l’infrastructure AdTech, en particulier du Real-Time Bidding. Lorsqu’un internaute consulte une application ou une page web, des enchères publicitaires se déclenchent en quelques millisecondes. Elles peuvent faire circuler des données sur l’appareil, la localisation, les identifiants publicitaires ou certains comportements de navigation. Initialement destinées au ciblage marketing, ces informations peuvent être exploitées pour identifier des habitudes, cartographier des déplacements ou isoler des profils sensibles.
L’apport du rapport de Sekoia tient moins au constat de géolocalisation qu’à la formalisation d’une chaîne de menace. Les chercheurs distinguent trois niveaux d’ADINT. L’ADINT passive permet de profiler des populations et d’analyser leurs déplacements. L’ADINT active autorise le suivi quasi temps réel d’une personne déjà identifiée. L’ADINT offensive, enfin, transforme les infrastructures publicitaires en vecteurs d’intrusion.
De la surveillance à l’intrusion
C’est cette dernière évolution qui change la nature du risque. Selon Sekoia, certaines entreprises spécialisées dans la surveillance développent désormais des capacités exploitant directement l’écosystème publicitaire pour compromettre des smartphones. Dans certains cas, la diffusion d’une publicité malveillante pourrait suffire à déclencher une infection sans interaction de la victime, dans une logique zero-click.
Cette bascule intervient alors que les fournisseurs de logiciels espions font face à une pression judiciaire et réglementaire croissante sur leurs techniques d’intrusion traditionnelles. L’AdTech représente alors un terrain d’opération attractif : mondial, fragmenté, opaque, et encore largement pensé comme un enjeu commercial ou de conformité, plutôt que comme une infrastructure susceptible d’être détournée à des fins offensives.
La réponse réglementaire commence toutefois à se structurer. Aux États-Unis, la Federal Trade Commission a engagé plusieurs actions contre des courtiers de données de localisation, dont Mobilewalla, accusé d’avoir collecté et conservé des données issues d’enchères publicitaires en temps réel pour d’autres finalités que la participation à ces enchères. En Europe, le RGPD et la directive ePrivacy posent un cadre plus strict, même si la complexité des chaînes publicitaires complique encore les contrôles.
Pour Sekoia, l’ADINT impose donc de regarder l’écosystème publicitaire autrement. Il ne s’agit plus seulement d’un sujet de ciblage, de consentement ou de vie privée. Les flux publicitaires peuvent aussi devenir des surfaces de renseignement, de surveillance et potentiellement d’intrusion. Autrement dit, la sécurité de l’AdTech devient désormais un enjeu de cybersécurité et de sécurité nationale.




