On pensait que le problème de la vie privée en ligne, c’étaient les cookies, les traceurs, l’historique de navigation. Une équipe de l’université de Nouvelle-Galles du Sud (UNSW Sydney) vient de démontrer que le danger est ailleurs. Dans une étude, les chercheurs ont prouvé qu’un modèle d’intelligence artificielle pouvait reconstruire le profil démographique d’un internaute à partir des seules publicités affichées sur son écran. Pas besoin de fouiller dans ses données personnelles, ses cookies ou son historique. Les pubs suffisent.
Comment une IA reconstruit votre profil avec vos pubs Facebook
L’équipe a collecté 435 314 impressions publicitaires Facebook auprès de 891 volontaires australiens via une extension navigateur. Chaque publicité (texte et image) a été soumise à Gemini, le modèle de Google. L’IA analysait d’abord chaque pub individuellement, puis reconstituait un portrait-robot de l’utilisateur en croisant l’ensemble des pubs vues au cours d’une session. Résultat : 59 % de précision sur le genre, 48 % sur le statut d’emploi, 43 % sur le niveau d’éducation et 35 % sur la préférence partisane. Des scores qui dépassent systématiquement le hasard et qui égalent (voire surpassent) ceux d’annotateurs humains, pour 223 fois moins cher et 52 fois plus vite.
Les pubs sont ciblées avant même d’arriver sur votre écran
Le détail le plus inquiétant de l’étude tient en une phrase : un VPN ne protège pas. La raison est simple. Les publicités sont ciblées par les régies (Meta, Google) en amont, sur la base du profil que la plateforme a déjà construit. Changer d’adresse IP ne change pas ce profil. Et l’attaque décrite par les chercheurs n’a même pas besoin d’accéder à la plateforme. N’importe quelle extension de navigateur disposant de la permission « lire le contenu de la page » pourrait capturer le flux publicitaire et le transmettre à un LLM externe. L’étude révèle aussi des biais publicitaires marqués : les hommes voient 2,25 fois plus de publicités pour les jeux d’argent que les femmes, et les chômeurs 2,89 fois plus.
En droit européen, la question est loin d’être théorique. La Cour de justice de l’UE a tranché en 2022 qu’une donnée « susceptible de dévoiler indirectement » une information sensible (orientation politique, état de santé) doit être traitée comme telle au sens du RGPD. Un profil reconstruit par IA à partir de publicités tomberait donc potentiellement sous le régime le plus strict du règlement. Pour le moment, aucune autorité de protection des données n’a encore pris position sur ce scénario précis. Mais les chercheurs de l’UNSW sont catégoriques : « Un suivi prolongé n’est pas un prérequis pour une attaque réussie. » Quelques minutes de navigation suffisent.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : UNSW
