Mis à jour le 28/05/2026
Savez-vous que les applications mobiles peuvent accéder par défaut à des milliers d’informations stockées sur nos smartphones ? Or celles-ci sont largement suffisantes pour identifier précisément chaque appareil. Ce potentiel "traçage par empreinte" ("fingerprinting") vient d’être mis en lumière par des scientifiques… et pose un véritable défi en matière de cybersécurité.
Interroger la sécurité de nos smartphones
Et si nos smartphones menaçaient notre vie privée ? Telle est la question que se sont posée Pierre Laperdrix, chargé de recherche CNRS et membre de l’équipe-projet Spirals, Walter Rudametkin, professeur à l'université de Rennes et membre de l'équipe DiverSE, et Sihem Bouhenniche, doctorante au sein de Spirals.
Les équipes
- Spirals, Self-adaptation for distributed services and large software systems, est une équipe-projet commune du Centre Inria de l'Université de Lille avec l'UMR CRIStAL.
- DiverSE, Diversity-centric Software Engineering, est une équipe-projet commune du Centre Inria de l'Université de Rennes avec l'UMR IRISA.
« Cette interrogation découle des recherches que nous menons depuis une dizaine d’années sur le traçage par empreinte - fingerprinting, en anglais - à partir des navigateurs internet, explique Pierre Laperdrix. Nous étudions les informations collectées par ceux-ci, comme la version du navigateur, les langues préférées, le fuseau horaire, qui sont normalement destinées à optimiser la navigation, et la façon dont elles peuvent être détournées pour créer une "empreinte" propre à chaque utilisateur. Nous nous sommes demandé si la problématique était la même avec les applications pour smartphones. »
Pour répondre à cette question, les chercheurs et chercheuses mettent sur pied en 2022 le projet ANR Facades. Première étape : créer une application pour Androïd, nommée AmIUnique et destinée à étudier la diversité des empreintes des smartphones, puis la mettre à disposition du public sur le playstore. Les chercheurs communiquent ensuite auprès de leurs réseaux pour que celle-ci soit téléchargée et exécutée le plus possible. En quelques mois, ils récoltent ainsi 4004 empreintes, c’est-à-dire des ensembles de données propres à chaque smartphone à un instant t, issues de 3143 appareils, certains ayant exécuté l’application plusieurs fois.
Cinq données pour une identification à 100%
« Cette extraction de données est possible grâce aux API, des points d’entrée intégrés au téléphone et à son système d’exploitation, qui permettent aux applications d’appeler certaines informations de l’appareil, expose Sihem Bouhenniche. Notre application ne demandait aucune autorisation d’accès aux données sensibles, comme la localisation ou les contacts, et ne s’est appuyée que sur les API disponibles pour n’importe quelle application. » Et grâce à celles-ci seulement, la doctorante a collecté environ 200 000 attributs (ou données) différents sur chaque smartphone !
Or, et c’est là le plus important, l’étude menée sur ces données à partir de fin 2023 lui permet de réaliser qu’un seul de ces attributs ou la combinaison de quelques-uns seulement permet d’identifier un utilisateur.
Image
Verbatim
Nous avons filtré les attributs pour ne garder que les plus pertinents et les plus stables dans le temps et finalement, avec seulement cinq attributs, sans demander d’accès à des données sensibles, nous pouvons créer une empreinte unique et identifier une personne à tous les coups !
Auteur
Sihem Bouhenniche
Poste
Doctorante, équipe-projet Spirals
Quels sont par exemple ces attributs ? Un nom de téléphone ou d’empreinte digitale, ou encore une sonnerie personnalisée facilitent la tâche, mais d’autres informations, comme la liste des points d’accès préférés au wifi ou l’heure du dernier allumage du téléphone, permettent aussi une identification très simple. « Cette dernière est enregistrée à la seconde près, donc tant que le téléphone n’a pas redémarré, elle constitue un marqueur quasiment unique de l’appareil », illustre Walter Rudametkin. Éteindre son smartphone chaque soir ne permet pas d’échapper au traçage : la combinaison de l’heure de redémarrage et du nombre de démarrages depuis la mise en service de l’appareil (données accessibles à n’importe quelle application) suffit à générer de nouveau une empreinte unique.
De véritables fuites de données
« La limite à cette étude est qu’elle porte sur un échantillon relativement réduit ; donc pour repérer un appareil parmi quelques millions, il faudrait sûrement une combinaison d’un plus grand nombre d’attributs… mais le principe serait le même », reprend Walter Rudametkin.
Les chercheurs ont en outre constaté que certaines API, mal protégées, permettaient la récupération de données normalement sensibles, telles des emails ou numéros de téléphone. « Sur les téléphones Samsung par exemple, lorsqu’un utilisateur change son numéro d’urgence, notre application arrivait à récupérer celui-ci à partir d’une API qui ne nécessite pourtant aucune autorisation particulière, poursuit Sihem Bouhenniche. Ce type de problème vient du fait que les constructeurs d’appareil ajoutent des surcouches d’API à celles fournies par le système d’exploitation et celles-ci peuvent présenter des failles en matière de sécurité. »
Les scientifiques ont immédiatement signalé le défaut à Samsung, qui a répondu s’en occuper. D’autres constructeurs, comme OnePlus et Xiaomi, dont les modèles présentaient certaines fuites de donnés, ont également été prévenus mais ont annoncé que le problème avait été résolu sur les modèles plus récents. « Cela signifie tout de même que les plus anciens, qui ne bénéficient plus de mises à jour, restent vulnérables, regrette Pierre Laperdrix. Nous avons aussi transmis nos résultats sur le fingerprinting à Google, mais pour le géant américain le problème est complexe, puisque les API sont de toute façon nécessaires aux développeurs des applications. »
Des conséquences potentiellement dangereuses
Pourtant, les dangers sont réels : les données récupérées et le traçage des utilisateurs peuvent être utilisés à de nombreuses fins, de la publicité ciblée au chantage, surtout si ces informations sont recoupées avec celles obtenues via des piratages.
Image
Verbatim
Le fingerprinting est un élément de plus qui permettrait à des personnes mal intentionnées d’établir des profils très complets des utilisateurs et donc d’ouvrir la porte à de graves dérives
Auteur
Walter Rudametkin
Poste
Chercheur, université de Rennes, équipe-projet DiverSE
Pour lutter à leur façon contre le problème, les trois scientifiques ont décidé de publier leurs résultats et de les présenter lors du PETS (Privacy enhancing technologies symposium), qui se tiendra en juillet 2026 au Canada. Leur article, accepté en janvier, a d’ailleurs été présélectionné par un comité de la conférence pour la deuxième place du prix de la meilleure publication étudiante (Sihem Bouhenniche en étant la première autrice). « Nous y partageons le code source de notre application AmIUnique, ainsi que les analyses statistiques qui nous ont permis de repérer les attributs les plus pertinents pour le fingerprinting, détaille Pierre Laperdrix. Avec l’idée que les personnes malveillantes auraient de toute façon réussi à les retrouver facilement, alors que celles qui cherchent à résoudre les problèmes doivent être aidées au maximum. »
Continuer à pister les API détournées
Les chercheurs vont d’ailleurs poursuivre leurs travaux en ce sens : une thèse en cours vise par exemple à essayer de découvrir si des applications sur Android détournent déjà les API à des fins de traçage des utilisateurs. Et d’autres sont envisagées, cette fois pour vérifier que les applications qui demandent des permissions d’accès à des données sensibles les utilisent bien pour les fonctionnalités prévues et non de manière injustifiée.
Image
Verbatim
Il nous faudra télécharger le plus d’applications possible, les exécuter et identifier des caractéristiques de comportement illégitime. Cela nous demandera bien deux ou trois thèses !
Auteur
Pierre Laperdrix
Poste
Chercheur, CNRS, équipe-projet Spirals
En attendant, les chercheurs prodiguent déjà quelques conseils aux utilisateurs désireux de compliquer (un peu) leur traçage : passer par un navigateur internet plutôt que par une application, car celui-ci récupère moins de données ; ne pas installer d’applications autrement que via le playstore, où elles bénéficient d’un certain contrôle, et personnaliser le moins possible son téléphone pour qu’il ressemble à celui des autres. Un petit pas vers un peu plus de respect de la vie privée.
Partagez votre empreinte pour contribuer aux recherches !
Téléchargez l'application
AmIUnique est disponible sur le playstore pour les appareils sur Android.
Scannez l'empreinte de votre appareil
L'opération prend quelques secondes.
L'application parcourt vos données
AmIUnique collecte les données accessibles sans aucune autorisation d’accès spécifique.
Votre empreinte est envoyée
Elle viendra enrichir la base de données constituée par les scientifiques.
Recommencez !
Il est utile pour les scientifiques de collecter plusieurs empreintes de votre téléphone, afin d'analyser comment celle-ci évolue au cours du temps. L'application vous propose d'activer un rappel hebdomadaire.
