Chaque jour, des centaines de banques sont approvisionnées en espèces, des bijouteries en diamants, tandis que des dépôts d’or sont vidés. Tout cela se passe souvent tôt le matin, à l’abri des regards trop indiscrets pour des raisons de sécurité. Pourtant, « L’Œil du 20 heures » a été en mesure de tracer les trajets de dizaines de convoyeurs de fonds, tout cela en restant assis devant un ordinateur. C’est le résultat de l’enquête « TrackingFiles », menée en collaboration avec franceinfo, diffusée mardi 4 mars et mercredi 5 mars sur France 2, à partir des données de géolocalisation de téléphones portables revendues par des courtiers spécialisés, les data brokers.

Dans l’échantillon de près de 12 millions de téléphones français auquel nous avons eu accès gratuitement via un data broker américain, on voit les points GPS immobilisés devant plusieurs banques d’un même quartier à des heures précises. On peut aussi suivre un camion descendant de Belgique jusqu’à la place Vendôme. « L’Œil du 20 heures » a par ailleurs retrouvé des appareils partant d’une dizaine de centres forts situés en banlieue parisienne, à Lille ou encore à Toulouse. Les tournées de livraisons changent régulièrement, mais ces trajets sont censés rester confidentiels. 

Ces données permettent aussi d’identifier des activités privées des convoyeurs. En recoupant les centaines de points GPS et les habitudes de déplacement, il a été possible de remonter jusqu’à des adresses personnelles, probablement des domiciles. Des informations loin d’être anodines dans un secteur où la sécurité est au cœur des enjeux.

Stéphanie Courtois, directrice de la communication de la société Brink’s en France, pointe l’utilisation du téléphone personnel dans les camions blindés, pourtant interdite. « Ça ne peut vraiment pas venir de nos téléphones professionnels. On demande à nos convoyeurs d’éteindre leur téléphone personnel, mais on n’était pas encore allés jusqu’à l’interdiction. On est en train de regarder comment renforcer les contraintes pour éviter d’avoir ce problème dans le futur. » Leur principal concurrent, Loomis, est également concerné par la géolocalisation de ses agents. Ils n’ont pas souhaité s’exprimer.

Ces données peuvent même compromettre la sûreté nationale. Loin des caméras, les missions des services secrets français sont parfois exécutées par l’une des unités les plus discrètes du pays, le service Action de la direction générale de la sécurité extérieure (DGSE). Implantés au fort de Noisy à Romainville (Seine-Saint-Denis), ces militaires spéciaux s’entraînent hors de la région parisienne, comme au centre parachutiste d’entraînement spécialisé, qui se trouve à Cercottes (Loiret).

« L’Œil du 20 heures » est en mesure de révéler que des centaines de points GPS provenant des fichiers du courtier américain bornent dans ces deux bases militaires ultrasécurisées. Nous avons été capables de déterminer le bâtiment exact dans lequel se trouvait le téléphone. Des trajets entre le fort de Noisy et Cercottes permettent de conclure qu’il s’agit de membres de la DGSE. S’il est impossible de connaître leur fonction exacte, il est aisé d’en apprendre beaucoup sur ces personnes. On peut ainsi savoir où elles font leurs courses, mais aussi où passent leurs soirées.

Encore plus inquiétant, des faisceaux d’indices concordants permettent d’identifier des adresses privées, probablement des domiciles. Avec ces éléments, il est possible de retrouver des identités probables de personnes passant leurs journées au camp de Cercottes, et parfois même de remonter jusqu’à des comptes de réseaux sociaux. La DGSE n’a pas souhaité commenter ces résultats, mais affirme être au courant de l’existence de telles données.

Ces serveurs remplis de données personnelles sont une aubaine pour les hackers en quête de nouveaux trophées. En janvier, l’échantillon d’un vol de données, dont a été victime le broker américain Gravy Analytics, a été publié sur un forum de pirates russes. Les risques liés à une telle fuite ne sont pas les mêmes pour tout le monde, souligne Baptiste Robert, hacker éthique interrogé par France 2. « C’est le concept dit de ‘modèle de menace’. Si vous êtes président de la République, avocat ou journaliste, vous n’avez pas le même modèle, vous n’avez pas les mêmes ennemis », résume-t-il

« Si je travaille au ministère des Armées, si je suis dans des situations ou dans des positions sensibles qui nécessitent une discrétion, le fait d’apparaître ici sera un vrai problème. »

Baptiste Robert, hacker éthique

à France 2

Face à des sociétés étrangères, il est difficile de protéger les intérêts sécuritaires français. « C’est une société américaine, donc elle joue pour son camp à elle, explique Baptiste Robert. Si Gravy Analytics ne veut pas cacher un lieu sensible en France, elle en a le droit, c’est elle qui détient le pouvoir ».