Prix CNIL-Inria 2026 : quand votre smartphone trahit votre navigation web sans que vous le sachiez

Une découverte qui bouscule les protections existantes

L'article, intitulé « Bridges to Self : Silent Web-to-App Tracking on Mobile via Localhost », met en lumière comment les garanties de protection entre contextes web et applicatifs peuvent être contournées sur les appareils Android par Meta et Yandex pour permettre un traçage croisé qui relie le suivi web aux applications natives.

Traditionnellement, les navigateurs et les applications mobiles évoluent dans des environnements étanches (sandbox) pour des raisons de sécurité. Cependant, la recherche récompensée démontre que des entreprises parviennent à exploiter des canaux de communication locale pour corréler en temps réel l'identifiant unique d'un internaute naviguant sur le Web avec son profil au sein d'une application mobile.

Les auteurs ont découvert que des applications Android natives (dont Facebook, Instagram, et plusieurs applications Yandex comme Maps et Browser) écoutent silencieusement sur des ports locaux fixes à des fins de traçage. Ces applications reçoivent les métadonnées, cookies et commandes en provenance des scripts Meta Pixel et Yandex Metrica intégrés sur des milliers de sites web. Ces scripts JavaScript se chargent dans le navigateur mobile de l'utilisateur et se connectent silencieusement aux applications natives s'exécutant sur le même appareil via des sockets localhost.

En d'autres termes, une simple visite sur un site web intégrant ces traceurs suffit pour que votre identité sur les réseaux sociaux soit reliée à vos habitudes de navigation, sans qu'aucune action de votre part ne soit nécessaire.

De la découverte aux correctifs

Ce qui rend cette recherche particulièrement remarquable est la portée des protections contournées. Cette nouvelle technique invalide des protections telles que l'effacement des cookies, le mode Navigation privée, les réinitialisations de l'identifiant publicitaire mobile, les VPN, ainsi que les séparations entre profils personnel et professionnel d'Android.

Les chercheurs ont combiné des analyses à grande échelle depuis des points d'observation en Europe et aux États-Unis avec une analyse systématique d'applications Android, pour caractériser une famille jusqu'alors non documentée de paradigmes de traçage Web-vers-application qui exploitent des standards web tels que HTTP(S), WebSocket et WebRTC pour relier contextes mobile et web via localhost.

Au-delà de la mise en évidence de la faille, les auteurs ont adopté une démarche responsable et constructive. Ils évaluent les efforts de correction des navigateurs et les défenses mises en place en réponse à leur divulgation responsable, ainsi que la future permission « Local Network Access » (LNA), qui introduit des invites utilisateur pour l'accès aux adresses localhost et au réseau local.

Un impact sociétal immédiat

En récompensant l'article « Bridges to Self : Silent Web-to-App Tracking on Mobile via Localhost », la CNIL et Inria réaffirment leur engagement conjoint à soutenir une recherche de pointe capable d'anticiper les dérives technologiques, de nourrir l'état de l'art scientifique et d'éclairer l'action des régulateurs européens face aux géants du numérique.

Découvrez les lauréats des Prix CNIL - Inria des années précédentes