Un document interne révélé par le New York Times indique que Meta développe une fonction baptisée « Name Tag » pour ses lunettes connectées, permettant d’identifier en temps réel les visages croisés via reconnaissance faciale et d’afficher des informations associées. Porté par Mark Zuckerberg, le projet viserait un déploiement progressif, suscitant de vives inquiétudes sur une généralisation de la surveillance biométrique dans l’espace public.
En France, des militants engagés dans les luttes écologistes proposent une réflexion collective sur la sécurité, tant numérique qu’organisationnelle, en s’appuyant sur l’analyse des méthodes d’enquête policière observées ces dernières années. Ils mettent à disposition un site internet qui comprend de nombreux tutoriels, notamment sur Signal, les métadonnées d’un fichier ou encore l’interception téléphonique.
Des chercheurs ont découvert que le frontend (l’interface web normalement réservée aux employés et non visible du public) du prestataire de vérification d’identité Persona Identities, Inc., utilisé par Discord pour vérifier l’âge de ses utilisateurs, était exposé sur internet, c’est-à-dire accessible publiquement alors qu’il n’aurait pas dû l’être. Cette interface, maintenant retirée, contenait 2 456 fichiers montrant l’ampleur des contrôles effectués : jusqu’à 269 vérifications différentes, analyses faciales contre des listes de surveillance et de personnes politiquement exposées, contrôle de “médias défavorables” (terrorisme, espionnage…) et attribution de scores de risque. Persona peut collecter et conserver pendant trois ans des informations personnelles telles que adresses IP, empreintes de navigateur et d’appareil, pièces d’identité, numéros de téléphone et analyses biométriques de selfies. Cette révélation alimente le débat sur la protection de la vie privée et l’efficacité réelle de la vérification d’âge. Discord aurait indiqué ne plus recourir à Persona, mais d’autres plateformes comme Roblox Corporation, OpenAI (pour ChatGPT) et Lime utilisent encore ses services.
En France, une brochure mise à jour en février 2026 recense les enjeux liés à la surveillance policière des téléphones mobiles et propose des conseils pour en limiter les risques, tant pour les téléphones classiques que pour les smartphones. Le document souligne les vulnérabilités techniques, les limites des outils de sécurité et les risques de fausse confiance favorisant la diffusion d’informations sensibles. Il élargit aussi la réflexion aux impacts écologiques et sociaux de la téléphonie mobile, aux pressions administratives à la numérisation, aux inégalités d’accès et à la protection des données face aux grandes entreprises du numérique, souvent sollicitées par les autorités.
Au Royaume-Uni, le gouvernement dirigé par Keir Starmer prévoit d’imposer un contrôle d’âge pour l’utilisation des VPN afin d’empêcher les mineurs de contourner les restrictions d’accès aux réseaux sociaux. Cette initiative prolonge l’Online Safety Act, adoptée en 2023, qui impose aux plateformes un devoir de vigilance renforcé : vérification d’âge pour les contenus pornographiques, réduction des contenus illégaux ou préjudiciables aux mineurs, et lourdes sanctions en cas de manquement. La mise en œuvre de cette loi est confiée à Ofcom, l’autorité indépendante de régulation des communications au Royaume-Uni. Ofcom supervise les télécommunications, l’audiovisuel, les services postaux et, depuis l’Online Safety Act, les grandes plateformes en ligne. Elle peut infliger des amendes pouvant atteindre 10 % du chiffre d’affaires mondial d’une entreprise et, en dernier recours, demander le blocage d’un service non conforme. Le nouveau projet de loi sur le bien-être des enfants et l’école pourrait aller plus loin en fixant un âge minimum légal pour les réseaux sociaux, en limitant certaines fonctionnalités jugées « addictives » et en restreignant l’accès aux VPN pour les moins de 16 ans. Des fournisseurs de VPN comme Mullvad estiment qu’un contrôle d’âge reviendrait en pratique à une vérification d’identité généralisée, avec des risques pour la vie privée et la protection des journalistes, lanceurs d’alerte ou militants.
Le piratage des appareils de communication par la Direction générale de la sécurité intérieure (DGSI), techniquement désigné sous le terme de « piégeage » par le ministère de l’Intérieur, se heurte à des obstacles techniques majeurs. Le taux de réussite du Service technique national de captation judiciaire (STNCJ), l’unité chargée d’extraire les données des smartphones et ordinateurs, n’oscille qu’entre 25 et 30%. Ces opérations, bien que ciblant des individus mis en cause dans des dossiers de terrorisme ou de criminalité organisée, s’avèrent non seulement difficiles à mettre en œuvre, mais également éphémères : même en cas de succès, l’accès aux données ne reste généralement opérationnel que durant quelques jours seulement.
Face à ce constat d’inefficacité relative, le pouvoir exécutif français a relancé au début de l’année 2026 une offensive politique pour obtenir un accès encadré aux communications chiffrées. Le Premier ministre Sébastien Lecornu a missionné le député Florent Boudié pour explorer des évolutions juridiques permettant de contraindre les services de messagerie (tels que WhatsApp ou Signal) à fournir leurs clés de déchiffrement aux autorités. Cette initiative, qui fait suite à un premier échec législatif lors de l’examen de la loi contre le narcotrafic en 2025, s’appuie sur les auditions de hauts responsables de la sécurité et du renseignement, notamment Céline Berthon (DGSI), Pascal Mailhos (coordonnateur national du renseignement) et des représentants de Tracfin, le Service de renseignement financier de Bercy.
Sur certains smartphones Samsung, notamment dans les gammes Galaxy vendues au Moyen-Orient et en Afrique du Nord, des applications préinstallées comme AppCloud/Aura suscitent des critiques pour leur opacité et l’impossibilité de les désinstaller facilement sans manipulation avancée. Leur déploiement plus fréquent dans ces régions s’explique par des partenariats commerciaux spécifiques visant la monétisation publicitaire et la recommandation d’applications sur des marchés où la régulation des données personnelles est généralement moins stricte qu’en Europe ou en Amérique du Nord. Développées avec la société israélienne technologique ironSource (désormais intégrée à la firme états-unienne Unity), ces applications sont accusées par des défenseurs de la vie privée de favoriser la collecte de données à des fins d’analyse et de marketing sans transparence suffisante pour les utilisateurs.
Des États et des entreprises de surveillance développent des outils d’« Advertising Intelligence » (AdInt) permettant aux services de police et de renseignement de localiser des smartphones à partir de données publicitaires ordinaires collectées par des applications courantes dans une opacité quasi totale. Une quinzaine de sociétés, majoritairement israéliennes mais aussi européennes et états-uniennes, proposent ces services déjà exploités par des agences telles que l’ICE aux États-Unis qui y a investi plusieurs millions de dollars.
Présentés comme des alternatives aux méthodes classiques de pistage, ces dispositifs font peser de graves menaces sur les libertés individuelles d’autant qu’ils peuvent être croisés avec des bases de données fuitées et servir à des opérations de désanonymisation. Ce risque concerne également les utilisateurs du réseau Tor dont la robustesse a récemment été remise en question suite à une opération de la police allemande (voir notre article). Malgré certaines limites techniques, cette industrie prospère en exploitant le consentement de façade des usagers et souligne l’urgence de l’autodéfense numérique face à une surveillance globale de plus en plus intrusive.
Des chercheurs de la KU Leuven ont mis au jour une faille de sécurité critique dans le système « Google Fast Pair », utilisé par des centaines de millions d’appareils Android pour faciliter la connexion d’accessoires Bluetooth. Cette vulnérabilité permet à un individu malveillant de prendre le contrôle d’écouteurs sans fil à distance, sans contact physique ni alerte pour le propriétaire, afin d’enregistrer des conversations ou de géolocaliser l’utilisateur. Bien que Google ait classé cette faille comme « critique » et prépare des correctifs pour fin janvier, l’étude souligne un défaut structurel où la facilité de connexion a été privilégiée au détriment de la sécurité et du respect de la vie privée.
Une récente opération de désanonymisation a montré que le réseau Tor peut être fragilisé sans que son chiffrement ou son protocole ne soient techniquement compromis. La désanonymisation consiste à relier une activité supposée anonyme à une identité réelle ou à une adresse IP, non pas en « cassant » la cryptographie, mais en exploitant des corrélations indirectes, notamment par l’analyse de trafic. En observant sur une longue période les volumes de données, les rythmes d’échange et les timings des paquets à différents points du réseau, des acteurs étatiques ont pu établir des correspondances statistiques entre un service caché et son point d’entrée sur Tor. Cette approche a été rendue possible par la surveillance et l’exploitation de nombreux nœuds, par la concentration géographique de l’infrastructure Tor et par l’usage de logiciels obsolètes ou de connexions persistantes. Une fois un nœud Guard identifié, la coopération des fournisseurs d’accès a permis de réduire l’anonymat jusqu’à l’identification de l’opérateur. Cette affaire confirme que Tor protège efficacement contre des adversaires limités, mais atteint ses limites face à une surveillance massive, coordonnée et durable. Tor reste néanmoins l’un des outils d’anonymisation les plus robustes actuellement disponible, à condition d’une hygiène numérique rigoureuse et de protections renforcées.
