Strava, une histoire émaillée de failles de sécurité

3330


Les années passent, mais rien ne change : les militaires, les gardes du corps des plus hautes personnalités et les membres des services de renseignement, censés être rompus à la discrétion, ne peuvent s’empêcher de partager avec le monde entier leurs exploits sportifs sur l’application et le réseau social Strava. C’est ce que révèle une enquête du Monde, qui démontre que des hommes chargés de la protection d’Emmanuel Macron, de plusieurs présidents américains et de Vladimir Poutine peuvent être identifiés grâce à leur utilisation de l’application de suivi sportif, mettant en danger leur mission et la vie de ceux qu’ils protègent. La révélation de failles de sécurité de ce type jalonne l’existence de Strava, la principale application du genre avec plus de 125 millions d’utilisateurs.

Tout a commencé début 2018 avec la « carte d’activité » de l’application. Le réseau social, qui l’a dévoilée quelques semaines plus tôt, y fait apparaître tous les trajets agrégés de ses utilisateurs : plus le trait est épais et lumineux, plus le nombre d’athlètes qui ont emprunté ce chemin est important. Dans toutes les grandes villes, les parcs et les quais des fleuves brillent de mille feux. A l’inverse, les zones où les utilisateurs de Strava sont rares restent sombres. Mais lorsque la curiosité d’un étudiant australien l’amène au-dessus du désert syrien, il tique : on y voit des trajets lumineux.

La raison est simple : les militaires, généralement des sportifs friands de l’application, n’ont pas jugé bon de protéger leur activité et l’ont posté publiquement. En agrégeant les données anonymes, Strava révèle ainsi la présence de bases militaires dans le monde entier ou, plus fréquemment, leur plan et les chemins qu’empruntent les militaires en leur sein ou à leurs abords. Aux Etats-Unis, le Pentagone affirme prendre l’affaire très au sérieux. En France, le ministère des armées explique, lui aussi, vouloir serrer la vis. Quant à Strava, il renvoie la responsabilité à ses utilisateurs, en précisant que seules les activités publiques étaient agrégées, mais s’engage à simplifier les réglages de confidentialité.

Peu après, des enquêtes du Canard enchaîné et du Télégramme révélent une faille encore plus importante : il est possible d’identifier nommément des membres des services de renseignement ou des soldats français sans passer par la carte, anonyme, mais en explorant les activités postées sur Strava. Certains sont des membres de la DGSE, de la DGSI ou des militaires postés sur la base de l’île Longue, où sont basés les sous-marins nucléaires français. Depuis leur profil, il est enfantin de se renseigner sur leur adresse personnelle, leurs habitudes et même, lorsqu’ils les emmènent avec eux lors de leurs sorties sportives, sur leurs proches.

Il vous reste 48.85% de cet article à lire. La suite est réservée aux abonnés.



Source link