Quand Strava trahit le secret Défense

Avec plus de 300 millions d’activités mises en ligne et près de 7 milliards de kilomètres parcourus par ses utilisateurs chaque année (chiffres 2016), Strava est une des applications de suivi sportif les plus populaires à travers le monde. Il suffit de lancer l’app lors de votre sortie à pied ou à vélo, et elle vous suit « à la trace » … jusque dans les endroit les plus insoupçonnés.

Des lumières dans le désert

À l’automne 2017, Strava publie sa Global heatmap, une carte du monde où se superposent toutes les activités enregistrées avec l’application.

Strava Global Heatmap

Le monde selon Strava

Quelques semaines plus tard, des observateurs attirent l’attention sur des points lumineux à l’écart de toute civilisation, dans des régions au climat hostile ou des zones de conflit. Qui peut bien s’entraîner au Nord de Raqqa, alors que gronde la Guerre civile syrienne ; ou à Madama, au cœur du Sahara, là où il ne pleut qu’une fois tous les cinq ans ? Qui, à part … des soldats en mission ?

Parfois, le plan d’une installation militaire apparaît sur la heatmap, alors qu’elle semble avoir été effacée des services de cartographie commerciaux tels Google ou Apple Maps.

Ce diaporama nécessite JavaScript.

Évidemment, les potentiels assaillants n’ont pas besoin de Strava pour connaître la localisation précise des bases. Généralement, leur existence est documentée ; dans l’exemple ci-dessus, il s’agit du poste avancé de l’armée américaine à Delaram, en Afghanistan. Mais la faille la plus préoccupante dans la sécurité des opérations réside dans une autre fonctionnalité : l’explorateur de segments.

Contingent à la demande

Sur Strava, un segment est un tronçon créé par un utilisateur pour lui permettre de comparer sa performance à celle des autres sportifs ayant emprunté le même chemin lors d’une activité.

On découvre ainsi, dans l’enceinte de bases aériennes au Mali ou en Irak, des segments en mode public (sic) où apparaissent les noms de dizaines de coureurs occidentaux.

Segment Strava

Un segment sur un site militaire parcouru par neuf utilisateurs en février, dont six sous leur identité réelle.

Un clic sur la date, et les horaires d’entraînement des soldats sont servis sur un plateau. Parfois, des photos viennent agrémenter le récit de la performance. Personnel à visage découvert et matériel, camions ou hélicoptères, y sont visibles.

Quelque part, sur une base militaire

Une préoccupation pour le commandement

Pas la peine de faire ici l’inventaire des mauvais usages potentiels de telles données. À la suite de la polémique, Strava s’engage à collaborer avec les armées et gouvernements pour protéger les données sensibles. Mais il ne s’agit que d’une application parmi d’autres. L’utilisation des réseaux sociaux et appareils électroniques personnels met à rude épreuve la sécurité des opérations.

Les troupes américaines ont reçu un rappel des règles existantes, tandis que le Pentagone étudie l’opportunité de les renforcer. Les bracelets et montres de fitness avec connectivité cellulaire ou Wi-Fi sont interdits, mais Bluetooth et GPS restent pour le moment autorisés.

L’armée française a également mis en garde ses éléments, en particulier les plus jeunes.

Et nos données ?

La problématique de la confidentialité des données ne concerne pas que les militaires ou agents secrets : elle est l’affaire de tous.

Par défaut, l’info sur Strava est publique. Il faut se rendre dans les paramètres pour activer la « confidentialité améliorée » :

  • anonymisation du profil (photo, initiales du nom) pour les utilisateurs non-connectés ;
  • abonnements soumis à approbation ;
  • historique d’activités, photos, records personnels réservés aux abonnés.

Cette page vous offre également la possibilité de ne plus figurer dans le classement des segments. Ce réglage n’est pas rétroactif. Enfin, vous pouvez définir une zone de confidentialité de 200 à 1.000 mètres autour de l’adresse de votre choix, par exemple votre domicile ou votre lieu de travail.

Un utilisateur averti …

Jonathan Quique © RUNNINGGEEK.BE 2018

Lire aussi :

Strava suggests military users ‘opt out’ of heatmap as row deepens (The Guardian)

U.S. military reviewing its rules after fitness trackers exposed sensitive data (Washington Post)

L’armée française met ses troupes en garde contre l’application de jogging Strava (Le Monde)

Lettre pour la communauté Strava (Strava Blog)

How to Manage Your Privacy on Strava (Strava Blog)

Laisser un commentaire