Le 28 mai 2026, le Pentagone a officiellement confirmé ce que certains savaient depuis une décennie : des ennemis des États-Unis exploitent les données de localisation des téléphones portables pour traquer les soldats américains en zone de combat. Cette révélation n'est pas une découverte. C'est un aveu tardif, après des années d'alertes ignorées, de correctifs refusés et de risques sciemment acceptés. En 2016 déjà, une entreprise de défense avait démontré qu'il suffisait de quelques dollars pour suivre les mouvements des troupes via des applications météo et des jeux. Le Pentagone savait. Il n'a pas agi.
2016, PlanetRisk sonnait l'alarme. 2026, le Pentagone admet l'échec
Le scandale qui éclate aujourd'hui plonge ses racines dans une histoire vieille de dix ans. Loin d'être une surprise technologique, la traque des soldats par leurs téléphones était prévisible, documentée, et pourtant jamais endiguée. Le contraste entre la précocité de l'alerte et la lenteur de la réaction donne la mesure de l'échec.
PlanetRisk : l'avertissement de 2016 que le Pentagone a ignoré
En 2016, la société américaine PlanetRisk travaillait sur un prototype logiciel pour le compte du gouvernement. Sa mission : construire un outil de surveillance capable de suivre les déplacements des réfugiés syriens. Pour y parvenir, les ingénieurs de PlanetRisk utilisaient des données de localisation achetées à des courtiers publicitaires — ces mêmes données que des applications gratuites de météo, de jeux ou de rencontres récoltent en continu sur les téléphones.
Au cours de leurs tests, les employés de PlanetRisk firent une découverte troublante. En filtrant les données par zones géographiques sensibles, ils parvenaient à suivre les opérations militaires américaines. Les téléphones des soldats, connectés aux mêmes réseaux publicitaires que ceux des civils, révélaient leurs positions avec une précision inquiétante. L'information fut transmise au Pentagone, comme l'a rapporté le Wall Street Journal. Mais le rapport fut classé sans suite. Aucune mesure structurelle ne fut prise.
Ce premier signal d'alarme présentait pourtant un caractère exceptionnel. Ce n'était pas une hypothèse théorique formulée par des chercheurs, mais une démonstration opérationnelle réalisée par un sous-traitant du ministère de la Défense. PlanetRisk avait la preuve que des données commerciales banales permettaient de cartographier les déploiements américains. Le Pentagone choisit de ne pas réagir.
La lettre du CENTCOM au sénateur Wyden : un aveu tardif
Dix ans plus tard, le ton a changé. Dans une lettre datée du 14 avril 2026 et rendue publique par le sénateur Ron Wyden (démocrate de l'Oregon), le Commandement central des États-Unis (CENTCOM) a reconnu avoir reçu « de multiples rapports de menace concernant l'exploitation des données de localisation commerciales par des adversaires pour cibler ou surveiller du personnel américain en opération ». C'est la première confirmation officielle que des soldats en zone de guerre sont activement pistés via leurs téléphones. L'information a été relayée par Reuters.
La déclaration du sénateur Wyden ne laisse aucune place à l'ambiguïté. « Il est temps de traiter l'industrie adtech comme une menace à la sécurité nationale », a-t-il lancé dans une déclaration citée par Reuters. Une phrase qui résume à elle seule le basculement de perspective : ce qui relevait hier de la protection de la vie privée est devenu aujourd'hui un enjeu de survie militaire. Le CENTCOM n'a pas précisé quels adversaires étaient derrière ces opérations de pistage, ni où les incidents avaient eu lieu. Mais la lettre confirme que le renseignement américain a détecté l'exploitation active de cette faille, sans avoir été capable de la colmater depuis 2016.
Cet aveu tardif intervient dans un contexte de tensions accrues pour le Pentagone, qui a récemment procédé à une purge de trois généraux en pleine guerre contre l'Iran. La question de la sécurité des communications militaires n'a jamais été aussi brûlante.
2018, la carte Strava qui a exposé les bases secrètes du monde entier
Deux ans après l'alerte de PlanetRisk, un incident bien plus médiatisé vint confirmer l'ampleur du problème. Cette fois, ce n'était pas un sous-traitant du Pentagone qui tirait la sonnette d'alarme, mais un étudiant australien de vingt ans, armé d'un simple ordinateur et d'une curiosité insatiable.
L'analyste de 20 ans qui a fait tomber le secret défense
En novembre 2017, l'application de fitness Strava publia une carte thermique mondiale de ses utilisateurs. L'outil, conçu pour visualiser les itinéraires de course à pied et de cyclisme les plus populaires, agrégeait 3 000 milliards de points GPS issus d'un milliard d'activités. Ce qui devait être un simple gadget communautaire devint une mine de renseignement.
Nathan Ruser, analyste à l'Institute for United Conflict Analysts, fut le premier à repérer l'anomalie. En parcourant la carte, il identifia sans difficulté des bases militaires américaines secrètes en Afghanistan, à Djibouti, en Syrie, et même des installations classifiées près de la zone 51. Les soldats, en courant autour de leurs bases avec leurs montres connectées et leurs téléphones, avaient dessiné des chemins parfaitement visibles. « Les bases américaines sont clairement identifiables et cartographiables », écrivit-il sur Twitter, déclenchant une tempête médiatique relayée par The Guardian.
La révélation de Ruser eut un retentissement mondial. Le Guardian, la BBC et Le Monde relayèrent l'information. Les images parlaient d'elles-mêmes : des pistes de jogging qui révélaient le périmètre exact de camps ultra-sécurisés, des itinéraires qui indiquaient les horaires de patrouille, des habitudes personnelles qui permettaient de déduire l'identité des officiers. Un étudiant venait de faire ce que les services de renseignement ennemis tentaient depuis des années.
L'ordre de 2018 : une rustine sur une hémorragie
Face au tollé, le Pentagone réagit en août 2018. Le colonel Rob Manning, porte-parole du ministère, annonça une directive restreignant l'utilisation des applications GPS dans les zones opérationnelles, comme l'a rapporté la BBC. Les soldats déployés en zones de combat ou sur des bases à l'étranger pouvaient être contraints de désactiver les services de localisation sur leurs appareils. « Il s'agit de s'assurer que nous ne donnons pas à l'ennemi un avantage indu », justifia Manning.
Mais cet ordre était une rustine sur une hémorragie. Il laissait aux commandants locaux le soin de décider de l'appliquer ou non. Il ne concernait que les téléphones professionnels, pas les appareils personnels que les soldats emportaient en mission. Surtout, il ne s'attaquait pas à la racine du problème : les données de localisation continuaient à fuir par des centaines d'autres canaux — applications météo, jeux mobiles, réseaux sociaux. Les soldats continuaient à utiliser Strava en dehors des heures de service, et la carte thermique restait accessible à tous.
L'approche était cosmétique. Le Pentagone avait choisi de gérer les symptômes plutôt que la cause, une décision qui allait se révéler catastrophique dans les années suivantes.
Des jeux aux drones : comment l'adtech transforme vos loisirs en cibles militaires
Pour comprendre comment des soldats américains peuvent être pistés via des applications de jeux ou de météo, il faut plonger dans les rouages de l'industrie publicitaire en ligne. Ce marché, qui pèse des centaines de milliards de dollars, repose sur un mécanisme simple : la collecte massive de données personnelles, dont la localisation est la plus précieuse.
L'ID publicitaire : le vrai nom de votre téléphone
Chaque smartphone possède un identifiant unique appelé Advertising ID (ou identifiant publicitaire). Sur iOS, c'est l'IDFA (Identifier for Advertisers). Sur Android, l'AAID (Advertising ID). Ce code alphanumérique, que l'utilisateur ne voit jamais, est le carburant de l'économie numérique. Il permet aux annonceurs de savoir que le même téléphone a consulté une page de chaussures de running, regardé une vidéo de recette de cuisine, et passé trois minutes sur un site de météo.
Les applications gratuites — jeux, lampe torche, boussole, prévisions météo — récoltent cet identifiant et le revendent à des régies publicitaires. En échange, l'utilisateur accède à l'application sans payer. Le problème, c'est que l'ID publicitaire est souvent couplé à la localisation GPS en temps réel. L'application météo a besoin de savoir où vous êtes pour vous donner la température locale. Mais cette donnée, une fois agrégée et revendue, permet de tracer vos déplacements avec une précision redoutable.
Ce n'est pas une option de confidentialité obscure : c'est le modèle économique de l'internet mobile. Et c'est exactement ce que les services de renseignement ennemis ont appris à exploiter.
Acheter la position d'un soldat pour quelques centimes
Le marché des données de localisation est d'une simplicité déconcertante. Des courtiers en données (data brokers) achètent en gros les flux d'identifiants publicitaires géolocalisés, puis les revendent à leurs clients. Le prix est dérisoire : l'enquête TrackingFiles de Franceinfo a révélé qu'un courtier proposait les données de 25 millions de téléphones en France pour 7 500 à 10 000 euros par mois. Pour quelques centimes par téléphone, un acheteur pouvait suivre en temps réel les déplacements de n'importe quel appareil.
Un adversaire souhaitant identifier des soldats américains n'a qu'à filtrer les données selon deux critères. D'abord, les adresses IP militaires ou gouvernementales, souvent faciles à repérer. Ensuite, les zones géographiques sensibles : bases militaires, ambassades, zones de conflit. En croisant ces informations avec les horaires et les habitudes de déplacement, il devient possible d'isoler les téléphones appartenant à des militaires. Une fois identifiés, ces appareils peuvent être suivis à la trace, jour et nuit.
Le lien entre l'argent de la publicité et la sécurité nationale est direct. Chaque fois qu'un soldat utilise une application gratuite sur son téléphone, il génère un flux de données qui peut être détourné. Et ce flux est vendu au plus offrant, sans aucune vérification de l'identité de l'acheteur. Le sénateur Wyden, en qualifiant l'industrie adtech de menace pour la sécurité nationale, ne faisait que tirer les conséquences logiques de ce constat.
Cette situation rappelle les débats récents autour de l'exclusion de certaines entreprises tech des marchés publics, comme l'a illustré la controverse sur Elizabeth Warren et la décision du Pentagone d'exclure Anthropic. La frontière entre innovation technologique et vulnérabilité stratégique devient chaque jour plus floue.
StravaLeaks, TrackingFiles, ADINT : les mêmes failles en France
Le problème n'est pas confiné aux États-Unis. Les enquêtes menées en France depuis 2025 montrent que les armées et les agences de renseignement françaises sont exposées aux mêmes failles. Les mêmes applications, les mêmes courtiers en données, les mêmes risques.
18 599 soldats français trahis par leurs baskets : le cas StravaLeaks
En mars 2026, Le Monde publia une enquête intitulée « StravaLeaks ». Les journalistes avaient identifié et suivi automatiquement les profils Strava de 18 599 militaires français. Pendant deux ans, ils avaient généré des cartes quotidiennes de leurs activités sportives.
Le cas le plus frappant concernait un officier de marine dont le jogging matinal révélait la position exacte du porte-avions Charles de Gaulle. En suivant son itinéraire, les journalistes pouvaient savoir quand le navire était à quai, quand il prenait la mer, et même estimer sa vitesse de déplacement. Un autre exemple : les gardes du corps du président de la République, pistés via leurs sorties sportives, exposaient indirectement les déplacements du chef de l'État.
Les militaires français, comme leurs homologues américains, utilisaient Strava sans conscience des risques. Leurs itinéraires de course, soigneusement enregistrés, dessinaient les contours des bases, des zones d'entraînement et des centres de commandement. L'information était publique, accessible à n'importe qui, y compris aux services de renseignement adverses.
749 téléphones à la DGSE : l'enquête TrackingFiles
L'enquête TrackingFiles, menée par Franceinfo en 2025, alla encore plus loin. Les journalistes se firent passer pour une agence de marketing et contactèrent un courtier en données américain. Sans poser de questions, celui-ci leur vendit l'accès à des flux de localisation en temps réel.
Les résultats étaient accablants. En filtrant les données par adresse, les journalistes identifièrent 749 téléphones au Fort de Noisy, le siège de la DGSE. 37 téléphones furent localisés au centre d'entraînement des forces spéciales de Cercottes, où les agents du Service Action s'entraînent avant leurs missions. Les journalistes purent suivre les déplacements des agents jusqu'à leur domicile, identifier leurs habitudes, leurs heures de lever, leurs trajets quotidiens.
Le courtier proposait « plus d'un milliard de points GPS » pour quelques milliers d'euros par mois. Aucune vérification d'identité n'était requise. Un adversaire disposant d'un budget modeste pouvait acheter la localisation de n'importe quel téléphone en France, y compris ceux des agents secrets.
« On sait, on sait… » : la réponse embarrassée de la DGSE
Contactée par les journalistes de Next.ink, la DGSE reconnut que ces vulnérabilités étaient « effectivement connues ». La réponse est glaçante : le service de renseignement savait depuis des années que ses agents étaient pistables via leurs téléphones. Et pourtant, rien n'avait été fait.
Le parallèle avec le Pentagone est flagrant. Dans les deux cas, la connaissance du risque n'a pas entraîné d'action corrective. Dans les deux cas, les solutions existent et sont simples. Dans les deux cas, l'inertie bureaucratique et les intérêts économiques ont prévalu sur la sécurité des personnels. Sept ans après l'affaire Strava, les agents français sont toujours pistés.
Le correctif à 0 € que l'armée refuse d'appliquer (et ce que vous pouvez faire)
Le plus troublant dans cette affaire, c'est que la solution existe. Elle est simple, gratuite, et connue de tous les experts en cybersécurité. Pourtant, ni le Pentagone ni les armées européennes ne l'ont mise en œuvre.
Désactiver l'ID pub : pourquoi l'armée ne le fait pas (lobbying, peur, inertie)
Le correctif tient en une manipulation dans les paramètres du téléphone : désactiver l'identifiant publicitaire. Sur iOS, il suffit d'aller dans Réglages > Confidentialité > Suivi, et de désactiver l'option « Autoriser les applications à demander le suivi ». Sur Android, le chemin est Paramètres Google > Annonces, où l'on peut réinitialiser l'ID publicitaire et désactiver la personnalisation des annonces. En appliquant ce réglage sur tous les téléphones militaires, la majeure partie des fuites de localisation serait stoppée.
Alors pourquoi l'armée ne le fait-elle pas ? Les raisons sont multiples. D'abord, une culture de sous-traitance aux géants de la Silicon Valley : les téléphones des soldats sont souvent des iPhone ou des Samsung grand public, configurés avec les paramètres par défaut. Ensuite, la peur de casser des applications métier : certains logiciels militaires utilisent la localisation pour des besoins opérationnels, et une désactivation brutale pourrait paralyser des systèmes entiers. Enfin, le lobbying intense de l'industrie adtech, qui pèse des milliards et ne voit pas d'un bon œil une remise en cause de son modèle économique.
Mais la raison principale est plus prosaïque : l'inertie. Les décideurs militaires, submergés par des crises immédiates, repoussent les correctifs techniques à plus tard. Ce « plus tard » dure depuis dix ans.
Mode d'emploi anti-pistage : les gestes qui marquent une vraie différence
Si l'armée ne se protège pas, vous pouvez le faire. Les gestes sont simples et prennent moins de cinq minutes.
Sur iPhone, allez dans Réglages > Confidentialité et sécurité > Suivi. Désactivez l'option « Autoriser les applications à demander le suivi ». Cela empêche les applications de lire votre identifiant publicitaire. Ensuite, dans Réglages > Confidentialité et sécurité > Localisation, vérifiez quelles applications ont accès à votre position. Supprimez l'autorisation pour toutes celles qui n'en ont pas strictement besoin — les jeux, les applis météo, les réseaux sociaux.
Sur Android, ouvrez Paramètres > Google > Annonces. Activez l'option « Désactiver la personnalisation des annonces ». Cela réinitialise votre identifiant publicitaire et empêche son utilisation. Ensuite, dans Paramètres > Localisation, désactivez la localisation pour les applications qui n'en ont pas besoin.
Si vous utilisez Strava ou d'autres applications de fitness, passez votre profil en mode privé. Vos activités ne seront plus visibles publiquement. Et surtout, ne publiez jamais vos itinéraires en temps réel : attendez d'être rentré chez vous pour partager votre parcours.
Ces gestes protègent le citoyen lambda. Ils devraient aussi protéger le soldat. Mais pour l'instant, le Pentagone et les armées alliées continuent d'ignorer l'évidence.
Conclusion : votre smartphone, nouvelle cible de guerre
Cette enquête révèle trois leçons essentielles. D'abord, les données de localisation sont devenues une arme de surveillance de masse, utilisée par les États ennemis pour cibler des personnels militaires et diplomatiques. Ensuite, les armées occidentales sont structurellement incapables de réagir face à la fuite organisée de données que l'industrie adtech a transformée en business model. Enfin, la protection de la vie privée n'est pas une option geek : c'est un enjeu de sécurité nationale.
L'affaire du Pentagone n'est pas une simple erreur technique. C'est le symptôme d'un système où l'adtech est devenue une menace existentielle, que les gouvernements refusent de réguler par peur de froisser des intérêts économiques colossaux. En France, les enquêtes de Le Monde et de Franceinfo montrent que personne n'est à l'abri — ni les agents de la DGSE, ni les soldats en mission, ni les citoyens ordinaires.
La question finale est pour vous : à qui offrez-vous votre position en ce moment même ?
