Trois trackers embarqués, dont un signé Huawei. C’est ce qu’un chercheur en sécurité a trouvé en décompilant l’application officielle de la Maison Blanche, celle-là même distribuée par une administration qui a sanctionné Huawei pour « menace à la sécurité nationale ».
Sam Bent, chercheur indépendant spécialisé en sécurité mobile, a publié le 28 mars 2026 un audit de treize applications fédérales américaines en utilisant Exodus Privacy, un outil open source qui analyse les APK Android pour détecter trackers et permissions. Le résultat est un florilège d’incohérences : l’app de la Maison Blanche demande la localisation GPS précise, l’accès aux empreintes biométriques, la modification du stockage et le droit de se lancer au démarrage du téléphone. Le tout pour distribuer des communiqués de presse qu’un simple flux RSS délivrerait avec une seule permission : l’accès au réseau.
La Maison Blanche embarque le code d’une entreprise qu’elle a elle-même sanctionnée
Le détail qui fait tiquer les spécialistes : la version 47.0.1 de l’application intègre Huawei Mobile Services Core. Le gouvernement américain interdit les équipements Huawei dans les réseaux fédéraux depuis 2019, au motif que l’entreprise chinoise pourrait transmettre des données à Pékin. Retrouver son infrastructure de traçage dans l’app officielle du président tient du court-circuit logique. Comme le résume l’audit d’Exodus Privacy, l’application contient aussi un bouton « Text the President » qui pré-remplit le message avec « Greatest President Ever! » avant de collecter nom et numéro de téléphone. Aucune politique de confidentialité spécifique n’accompagne ces fonctionnalités, selon les conclusions de Bent relayées par Cointelegraph et IBTimes.
Le FBI diffuse des publicités, la FEMA réclame 28 autorisations
L’application de la Maison Blanche n’est pas un cas isolé. L’audit couvre douze autres apps fédérales, et le bilan est systémique. L’application myFBI Dashboard, outil officiel du Bureau fédéral d’investigation, embarque quatre trackers dont Google AdMob, une régie publicitaire qui sert des annonces ciblées en fonction du comportement de l’utilisateur. L’app demande douze permissions, y compris la lecture de l’état du téléphone et le lancement automatique au démarrage. L’agence fédérale chargée de lutter contre la cybercriminalité distribue un logiciel qui intègre une régie pub : c’est la version numérique du pompier pyromane.
La FEMA, l’agence responsable des secours en cas de catastrophe, pousse le curseur encore plus loin. Son application réclame 28 permissions pour afficher des alertes météo et des emplacements de refuges. À titre de comparaison, l’application AP News remplit exactement la même fonction avec une dizaine de permissions. 28 autorisations pour dire « il y a une tornade à 50 km », c’est trois fois ce dont a besoin une app commerciale équivalente.
75 ans de conservation pour votre visage, 15 milliards de points GPS par jour
Les permissions des applications ne sont que la face visible. Ce que l’audit met en lumière, c’est la tuyauterie derrière : une fois collectées, les données biométriques et de localisation circulent entre ICE (les services d’immigration), le DHS (département de la Sécurité intérieure), et le FBI pendant des décennies. CBP Mobile Passport, l’app des douanes, demande 14 permissions dont 7 classées « dangereuses » par Android : géolocalisation en arrière-plan (l’app continue de vous pister même fermée), accès à la caméra, authentification biométrique. Selon l’American Immigration Council, les données faciales collectées sont conservées jusqu’à 75 ans.
En parallèle, le DHS achète quotidiennement 15 milliards de points de localisation auprès de Venntel, un courtier en données qui piste 250 millions d’appareils, comme le rapporte NPR dans une enquête publiée le 25 mars. L’ACLU a obtenu par le Freedom of Information Act 6 168 pages de documents prouvant 336 000 points de localisation collectés en trois jours, soit 26 par minute. L’astuce juridique : plutôt que de demander un mandat comme l’exige l’arrêt Carpenter de la Cour suprême, les agences achètent les données à des courtiers privés. Le quatrième amendement, celui qui protège contre les fouilles abusives, est contourné par un simple bon de commande.
Le paradoxe TikTok résumé en une app
C’est ici que le dossier prend une dimension politique. En janvier 2026, les États-Unis ont forcé TikTok à se restructurer sous actionnariat majoritairement américain. Le motif invoqué : ByteDance, la maison mère chinoise, pourrait transmettre les données des utilisateurs à Pékin. Localisation, biométrie, historique de navigation, toutes les pratiques dénoncées chez TikTok se retrouvent, fonctionnalité par fonctionnalité, dans les apps fédérales auditées par Bent.
La différence, comme le souligne l’Electronic Frontier Foundation dans une analyse publiée en mars 2026 : les apps de TikTok sont soumises aux conditions du Google Play Store et d’Apple, avec des mécanismes de consentement. Les apps fédérales, elles, n’ont souvent aucune politique de confidentialité dédiée, et leurs données alimentent directement la machine de surveillance intérieure, sans contre-pouvoir judiciaire. Le Government Accountability Office a recensé 236 recommandations en matière de vie privée et de sécurité émises depuis 2010 : 60 % restent lettre morte.
Un projet de loi bipartisan pour colmater la brèche
Les sénateurs Ron Wyden (démocrate, Oregon) et Mike Lee (républicain, Utah), accompagnés des représentants Warren Davidson et Zoe Lofgren, ont déposé en mars 2026 le Government Surveillance Reform Act. Le texte vise à fermer ce que les juristes appellent le « data broker loophole » : l’obligation d’obtenir un mandat avant d’acheter les données de localisation, les relevés téléphoniques ou les informations biométriques des Américains auprès de courtiers commerciaux. Le projet réforme également la Section 702 du FISA, la loi sur la surveillance étrangère, dont l’expiration est prévue le 20 avril 2026.
L’urgence est réelle. Plus de 130 organisations de la société civile ont signé une lettre ouverte exhortant le Congrès à agir, citant « l’expansion sans précédent de la surveillance de masse sans mandat ». Lors d’une audition au Sénat, Wyden a demandé au directeur du FBI Kash Patel s’il s’engageait à ne plus acheter de données de localisation des Américains. Patel a refusé, répondant que le Bureau « utilise tous les outils » à sa disposition et que ces achats sont « conformes à la Constitution ». Son prédécesseur Christopher Wray avait pourtant indiqué en 2023 que le FBI avait cessé d’utiliser les données de localisation issues de la publicité en ligne, selon Wired.
Quand la pub ciblée devient un outil de surveillance d’État
Le dossier ne s’arrête pas aux apps. Un document obtenu par 404 Media montre que les douanes américaines (CBP) ont directement puisé dans l’écosystème publicitaire en ligne, celui-là même qui vous montre des pubs pour des chaussures après que vous en avez cherché une paire. Le système d’enchères en temps réel (RTB), qui diffuse les annonces sur la quasi-totalité des sites web, génère des identifiants publicitaires uniques qu’Apple et Google attribuent à chaque téléphone. La CBP a reconnu s’en être servie pour pister des appareils. En d’autres termes : la même infrastructure qui vous affiche une publicité pour un vol à Barcelone permet à une agence fédérale de savoir que vous étiez à Barcelone.
ICE dispose de son côté d’un contrat de 9,2 millions de dollars avec Clearview AI, renouvelé en 2025, qui lui donne accès à plus de 50 milliards d’images faciales aspirées sur Internet, selon l’EFF. Le système a déjà produit au moins huit arrestations erronées en 2026. L’un des cas documentés : une femme du Tennessee identifiée à tort pour une fraude bancaire dans le Dakota du Nord, un État où elle n’avait jamais mis les pieds. Arrêtée, extradée, inculpée, puis finalement blanchie quand les preuves ont montré qu’elle faisait ses courses au moment des faits.
Le Congrès a jusqu’au 20 avril pour décider s’il referme la faille ou la laisse ouverte. Le vote sur la Section 702 du FISA sera le premier test concret. Si le data broker loophole survit à la négociation, la surveillance commerciale restera ce qu’elle est aujourd’hui : un substitut légal au mandat judiciaire, financé par le contribuable américain et alimenté par les applications que tout le monde a dans sa poche.
