Connexion
Abonnez-vous

Comment Strava permettait de remonter la piste d’agents des renseignements français et étrangers

NSA va comme ci comme ça, deci delà

Comment Strava permettait de remonter la piste d’agents des renseignements français et étrangers

Le 01 juillet 2022 à 10h55

Il était possible, depuis 2018, d'identifier des centaines d'agents de plusieurs services de renseignement occidentaux (NSA, CIA, GCHQ, Mossad, etc.), sur le réseau social de sportifs Strava. La faille n'a été corrigée que la semaine passée.

La première partie de cet article revenait sur l'improbable série de circonstances ayant entraîné la « heatmap » mondiale des courses géolocalisées des utilisateurs du réseau social de sportif Strava à faire la « Une » des médias du monde entier.

Strava, qui l'avait initialement présentée en novembre 2017, comme « le plus grand, le plus riche et le plus beau jeu de données de ce type », ne pouvait anticiper que le premier réflexe d'un étudiant australien de 20 ans, par ailleurs féru d'OSINT et de renseignement, serait de regarder à quoi y ressemblait la Syrie.

Fin janvier 2018, il découvrait que des utilisateurs de Strava s'étaient géolocalisés en Syrie, pays en guerre où seuls des militaires occidentaux, en opérations extérieures (OPEX) auraient pu s'y connecter. Il découvrait dans la foulée qu'on pouvait également y identifier de nombreuses autres bases, y compris en Occident.

Le lendemain, d'autres adeptes de l'OSINT précisaient qu'il était également possible de savoir quels utilisateurs de Strava s'étaient géolocalisés sur tels ou tels « segments » (ou bouts de courses), et commençaient à identifier des dizaines de militaires.

Un développeur britannique expliquait en outre un « hack » permettant de simuler le fait d'avoir couru à n'importe quel endroit, de créer puis de téléverser sur Strava de « vrai-faux segments » susceptibles d'identifier tous les utilisateurs de Strava s'y étant géolocalisés.

Dans la foulée, Strava rappelait à ses utilisateurs qu'ils pouvaient modifier leurs paramètres de confidentialité pour y faire figurer des « zones de confidentialité » où ils ne pourraient être géolocalisés. Le réseau social s'engageait de plus à « travailler avec les responsables militaires et gouvernementaux pour traiter les données potentiellement sensibles ».

Les autorités militaires américaines et françaises, prenant l'affaire très au sérieux, déclaraient de leur côté qu'elles allaient enquêter à ce sujet, et qu'elles avaient rappelé « la nécessité de respecter les règles élémentaires de sécurité en opération, par exemple déconnecter les objets, comme les montres, les iPhone ou encore Strava. »

Cet enchaînement de circonstances, en une période de trois jours seulement, aurait a priori pu (et dû) remettre les choses dans l'ordre, et permettre de colmater la brèche. A priori.

Sur la piste d'un des 7 nains de Blanche-Neige

N'ayant découvert l'existence même de Strava que ce week-end-là, il me fallut quelques jours pour en comprendre et maîtriser les nombreuses fonctionnalités,  puis la façon qu'ont ses utilisateurs de s'en servir.

Partant du postulat (erroné) qu'un agent de la DGSE n'utiliserait pas sa véritable identité, j'avais commencé à m'intéresser aux utilisateurs recourant à des pseudos. L'un d'entre eux, qui avait pris pour pseudo le nom de l'un des 7 nains de Blanche-Neige, me fit penser à « Malotru », personnage de Mathieu Kassovitz dans la série Le Bureau des légendes.

Et, bingo : non content de s'être géolocalisé, plusieurs fois, à l'intérieur de la caserne Mortier et de celle des Tourelles, les deux bâtiments du QG de la DGSE, il s'était également géolocalisé à l'intérieur du Fort de Noisy, en Seine-Saint-Denis, l'une des principales annexes de la DGSE en région parisienne.

Strava

« Lunch run » entre les casernes Mortier et des Tourelles de la DGSE, 4 jours après la découverte de la faille de sécurité sur Strava

Je savais dans quelle rue mon « client » habitait, là où il était allé en vacances, mais il avait si bien compartimenté ses activités qu'il me fallut cinq jours pour le désanonymiser. À force de scruter son profil, je découvris qu'il avait fait des courses de 21 et 42 kilomètres, qu'il s'agissait de (semi-)marathons, et j'entrepris donc de comparer ses performances sur Strava avec les résultats officiels desdites courses, disponibles sur leurs sites web.

Un profil pouvait potentiellement correspondre, mais jamais à la seconde près. Probablement parce que les utilisateurs de Strava déclenchent puis éteignent leurs GPS au départ et à l'arrivée de la course, quand leurs performances réelles ne sont décomptées, de leur côté, qu'à la seconde où ils franchissent la ligne de départ puis d'arrivée.

Près de 20 agents de la DGSE en moins d'une semaine

En pivotant sur les prénom et nom du « suspect » potentiel, je découvrais un compte Facebook, où figurait en photo de profil un homme en tenue de jogging, photo qu'il avait lui-même géolocalisée et horodatée dans une ville de Bretagne où il était alors en vacances.

Précisément là où l'agent de la DGSE s'était géolocalisé ce jour-là sur Strava... Je contactais donc un ancien de la « Boîte » pour lui demander ce qu'il risquait si je rendais l'information publique : « cher, sauf s'ils sont plusieurs : dur d'en sanctionner un et pas les autres », me répondit-il. 

Il me fallait donc en trouver d'autres pour pouvoir en parler sans risquer de nuire à qui que ce soit en particulier. Mais également pour mesurer s'il s'agissait d'une exception, d'une erreur individuelle, ou bien d'un problème plus structurel, voire systémique.

Ces cinq premiers jours d'enquête m'avaient permis de mieux comprendre le fonctionnement de Strava, et comment s'en servaient ses utilisateurs. Il ne me fallut donc que quelques heures pour en trouver d'autres, s'étant eux aussi géolocalisés à l'intérieur des casernes Mortier et des Tourelles, au Fort de Noisy, ainsi que dans d'autres bases, centres d'entrainement et stations d'écoute de la DGSE, en France et à l'étranger (j'en avais effectivement dressé la carte, il y a quelques années).

Une semaine plus tard, j'avais réussi à identifier près d'une vingtaine d'agents de la DGSE, y compris dans l'une des bases du service Action de la DGSE, à Quélern, sur la presqu’île de Roscanvel, dans la rade de Brest, comme je l'avais alors raconté dans Le Télégramme.

Pour plus de la moitié d'entre eux, il était en outre possible de remonter jusqu'à leurs véritables identités, leurs domiciles privés voire, via Facebook, leurs conjoints, parents, amis, enfants, photos comprises.

Mon enquête allait bien au-delà d'une information d'intérêt public. J'avais identifié une faille de sécurité affectant plus d'une vingtaine d'agents du renseignement, en un peu plus de 5 jours seulement et ce, alors que le problème avait été publiquement exposé au monde entier deux semaines auparavant.

Le temps de contacter le Canard Enchaîné (de manière sécurisée pour éviter tout risque de compromission), de lui faire parvenir mon enquête, de lui permettre de la vérifier, mais également de contacter la DGSE pour obtenir une réaction et qu'elle puisse prendre les mesures d'urgence susceptibles de protéger ses agents, l'info finissait par être publiée le mercredi 21 février.

L'agent de la DGSI identifié se renomme Paul Bismuth

Cherchant à m'assurer que les profils identifiés avaient bien été passés en « privé », voire désactivés, je découvrais qu'au moins un des agents de la DGSI, identifié alors qu'il joggait à l'intérieur de sa station d'écoute et au « pôle d'expertise en investigation numérique » de Boullay-les-Troux (Essonne), continuait à s'y géolocaliser sur Strava.

Le Canard Enchaîné n'avait certes mentionné que les seuls agents de la DGSE que j'avais réussi à identifier, mais j'avais bien évidemment aussi cherché à vérifier si certains de leurs « cousins » du renseignement intérieur pouvaient eux aussi s'en servir...

Et ce n'est qu'après avoir révélé, dans Le Point, un mois plus tard, que les profils des huit agents de la DGSI que j'avais identifiés étaient toujours « à poil sur Strava » (les autres étaient inactifs) qu'il renomma son profil... Paul Bismuth. Soit le faux nom utilisé par l'avocat de Nicolas Sarkozy pour acheter deux cartes SIM censées lui permettre de communiquer de façon sécurisée avec son client, alors placé sur écoutes.

Pire : 15 jours après la « Une » du Canard, je découvrais que le numéro deux de la DGSE, celui-là même en charge de la lutte contre les terroristes, utilisait lui aussi Strava, et que son profil n'avait toujours pas été désactivé.

Les services de renseignement, de sécurité et de contre-espionnage n'avaient non seulement pas été capables, dans les jours suivant le thread de Nathan Ruser, de « faire le job », mais ils ne semblaient donc pas non plus l'avoir correctement fait une fois l'information étalée en « Une » du Canard.

Une autre hypothèse voudrait que l'intendance n'ait pas suivi. Il fallu en effet attendre plus de 15 jours après que l'info sur la passion du directeur du renseignement pour le marathon connecté fut rendue publique par Intelligence Online pour que son profil disparaisse de Strava.

Les Français plus « branques » que les autres ?

Sur ce, il me fallait aussi vérifier si les Français étaient plus « branques » que les autres, ou pas. J'entrepris donc d'identifier sur Strava d'éventuels agents de la NSA, de son homologue britannique le GCHQ, ou encore d'Israéliens de l'Unité 8200, réputée pour ses hackers d'élite.

Contrairement à la DGSE et la DGSI, nombre de leurs unités figurent dans des enclaves militaires fermées, où ne figuraient pas, ou peu, de segments Strava. Ce pour quoi j'utilisais le mode d'emploi de Steve Loughran pour créer de toutes pièces de vrais-faux segments dans ces enclaves hautement sécurisées, physiquement en tout cas.

Et si je n'ai découvert que quelques soldats israéliens, j'ai pu identifier des dizaines, et même plus d'une centaine, d'agents américains et britanniques. À l'époque, Strava proposait une fonctionnalité « replay » permettant de visualiser les courses, à l'instar de celle-ci, effectuée depuis et jusqu'à l'entrée « visiteur » du QG de la NSA à Fort Meade, dans le Maryland, par au moins 7 utilisateurs de Strava, à l'occasion de la cérémonie de départ de l'un de ses anciens hauts dirigeants : 

L'exercice était suffisamment instructif, pour que je m'en serve auprès de mes étudiants en journalisme, trop contents de pouvoir ainsi apprendre leur métier en s'attelant à géolocaliser ceux qu'Edward Snowden venait de faire passer pour des « maîtres du monde cyber ». 

Et ce, alors qu'il était donc possible de les géolocaliser en quelques minutes sur Strava, puis de les identifier sur Facebook (notamment) en quelques dizaines de minutes, pour certains. Taquins, quelques étudiants allèrent jusqu'à chercher des profils liés à la CIA, au GIGN et au Mossad.

StravaStrava

Captures d'écran d'extraits de compte-rendus de mes étudiants en journalisme

Je précise, à toutes fins utiles, que je leur expliquai qu'ils avaient interdiction formelle de rendre publiques leurs découvertes, qu'il s'agisse des segments ou des personnes identifiés, et que l'exercice était à vocation pédagogique : s'il est possible de retrouver des infos sur des agents du renseignement, il devrait donc être possible de pouvoir le faire sur n'importe qui !

J'avais également contacté plusieurs médias internationaux et français, mais aucun ne m'ayant répondu, je n'avais pas rendu publique ces infos jusqu'alors. La fermeture de mon compte Strava, la semaine passée, a changé la donne. 

Les segments que j'avais créés ont été effacés, il est donc bien plus difficile d'identifier les agents de services de renseignement étrangers que, depuis 4 ans, j'avais pu géolocaliser. Cela faisait quelque temps que je pensais en parler sur Next INpact, ce que je peux donc enfin faire sans risquer de compromettre qui que ce soit.

Une faillite pour le renseignement, une victoire pour l'OSINT

Ironie de l'histoire, cette fermeture ne résulte pas d'enquêtes émanant de la NSA, du GCHQ, de l'Unité 8200 ni de l'un des autres services de renseignement auxquels je m'étais intéressé, pas plus que de Strava, qui avait pourtant expliqué dès le 29 janvier 2018 qu'il s'engageait à « travailler avec les responsables militaires et gouvernementaux pour traiter les données potentiellement sensibles ».

Elle fait suite à un signalement de FakeReporter, un collectif Israélien d'experts de l'OSINT et de la lutte contre la désinformation. Il avait en effet repéré que « de faux profils ont utilisé Strava pour espionner le personnel de sécurité israélien travaillant sur des sites sensibles en Israël », explique The Jerusalem Post : 

« FakeReporter a commencé à enquêter sur le problème après avoir reçu un signalement concernant une activité suspecte sur l'application Strava. La dénonciation a révélé un profil anonyme qui avait téléchargé des données GPS artificielles dans les bases de Tsahal et les installations de sécurité sensibles. »

L'article ne mentionne pas mon profil, mais celui d'un certain « Ez Shl », dont « l'activité indique que l'utilisateur avait l'intention de produire des segments dans des zones sensibles pour la sécurité en Israël afin de collecter des informations sur les personnes servant dans ces lieux classifiés ».

D'après The Guardian, cet utilisateur anonyme, « dont la localisation est indiquée comme étant "Boston, Massachusetts" », avait créé une série de faux segments à proximité de plusieurs bases militaires en Israël, « y compris des avant-postes des agences de renseignement du pays et des bases hautement sécurisées que l'on pense être associées à son programme nucléaire » :

« Les segments artificiels étaient situés à proximité de sites tels que le quartier général du Mossad, la base Kanaf 2 de l'armée de l'air israélienne, une base près du réacteur nucléaire de Dimona, la base Bahad 1 et la base Palmachim, entre autres. » 

Des informations sur 100 personnes étaient visibles dans six bases

« Nous avons contacté les forces de sécurité israéliennes dès que nous avons eu connaissance de cette faille de sécurité », explique Achiya Schatz, directeur exécutif de FakeReporter. « Après avoir reçu l'approbation des forces de sécurité, FakeReporter a contacté Strava, qui a réuni une équipe pour résoudre le problème » : 

« Malgré les révélations passées, il ne semble pas que les agences de sécurité israéliennes aient rattrapé leur retard. Bien que Strava ait apporté des mises à jour importantes à ses paramètres de confidentialité, les utilisateurs déroutés pourraient toujours être exposés publiquement, même si leurs profils étaient définis en mode "privé". »

La BBC rapporte que « des informations sur 100 personnes ayant exercé dans six bases étaient visibles ». Le profil d' « Ez Shl » laisse entendre qu'il ne se comportait pas de manière professionnelle, ou qu'il n'avait pas bien compris comment rendre ses faux segments réalistes, afin de passer sous le fil des radars. Ils comportaient en effet « des lignes GPS droites, aucun temps et un rythme irréaliste, comme parcourir 500 m en 0 seconde ».

« Nous prenons très au sérieux les questions de confidentialité et nous avons été informés par un groupe israélien, FakeReporter, d’un problème de segment concernant un compte utilisateur spécifique et nous avons pris les mesures nécessaires pour remédier à cette situation », précise un communiqué de Strava consulté par le Guardian.

Le problème était bien systémique

Sur Twitter, FakeReporter estime que « le plus étonnant » est que « ces expositions ne semblent pas avoir entraîné de changement dans les procédures des organes de sécurité », alors même que « cette omission les met en danger. Et nous aussi » : 

« Cette faille de sécurité représente un large potentiel de préjudice. La capacité de collecter des informations de n'importe où, n'importe quand, est alarmante. Il s'agit d'une sérieuse avancée dans les capacités d'espionnage non seulement ici, mais après les pays et le personnel de sécurité du monde entier. »

De fait, le problème n'est pas que des agents de divers services de renseignement aient improprement utilisé Strava, même s'il leur aurait suffi d'activer/désactiver leur GPS à l'extérieur de leurs lieux de travail pour éviter d'être identifié. L'erreur est humaine, et la majeure partie d'entre eux s'étaient géolocalisés avant le thread de Nathan Ruser et les articles qui ont suivi. Même s'il m'est arrivé, depuis, d'en trouver quelques autres continuant à s'y géolocaliser.

Le problème, c'est que non seulement les services de sécurité et de contre-espionnage français n'avaient pas été capables de le vérifier dans les jours qui ont suivi, en 2018, mais aussi et surtout que plusieurs services étrangers ne l'avaient donc toujours pas identifié quatre ans plus tard.

Strava ne précise pas combien d'autres comptes ont été fermés. Mais un autre OSINTer, @obretix, dont le compte a lui aussi été fermé, souligne l'ironie de l'histoire : 

« "Nous examinons souvent les informations et les activités des comptes", explique @Strava. C'est donc juste une coïncidence qu'une faille connue publiquement depuis plus de 4 ans soit soudainement devenue un problème parce que quelqu'un l'a signalé aux forces de sécurité israéliennes. »

Suite à ma première enquête sur les agents de la DGSE et de la DGSI, une chaîne de service publique avait refusé d'y consacrer un reportage dans son JT, au motif que cela pourrait donner des idées à des terroristes. À quoi j'avais répondu que le problème relevait bien plus de la capacité d'autres services de renseignement de faire de même. Je ne mesurais pas, alors, à quel point les services occidentaux ne prendraient finalement pas en compte cette potentialité.

De plus, taire ce genre de failles reviendrait à les cacher sous le tapis, dans l'espoir que personne ne les remarque. A contrario, les rendre publiques permet de lancer l'alerte dans l'espoir qu'elles puissent être colmatées, ou que leurs potentielles victimes puissent y remédier.

À ce titre, j'ai eu l'occasion d'évoquer ma première enquête dans de nombreuses conférences faites auprès de directeurs de la sécurité de grands groupes, au sein desquels figuraient d'anciens membres de plusieurs services de renseignement. Aucun ne m'en a fait grief. Au contraire, beaucoup vinrent me remercier d'avoir « fait le job ».

Le 01 juillet 2022 à 10h55

Commentaires (28)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Donc si je comprends bien toute cette histoire, une faille majeure dans la sécurité de beaucoup de gens y compris des personnes dont c’est sensé être le métier découle uniquement de leur égo démesuré sur leurs performances sportive ?



Il y a pourtant beaucoup d’application hors ligne et/ou privé pour ce genre d’activité. Courant régulièrement ( sans aller jusqu’à faire des marathon ) je ne connaissais même pas cette application … mais bon je ne compare pas non plus mes non-performances avec qui que ce soit.

votre avatar

Et nous qui pensions qu’il existait un véritable risque terroriste en france…



Quand on voit comment ces données sont libres ou comment il serait hyper simple de faire un attentat qui paralyserait Paris sans faire couler une goute de sang (genre, les dépôts de RER ou les transformateurs stratégiques EDF disséminés), on se demande pourquoi on a eu 20 ans de matraquage terroriste qui s’arrête avec la pandémie.



Starva n’est qu’une des dizaines d’appli qui permettent de faire repérer le personnel stratégique, et on s’en fout.



Du coup, le risque terroriste est-il vraiment réel ou ne serait-il pas qu’un déplacement de la fenêtre d’Overton pour cacher les véritables enjeux de transfert de richesse et de souveraineté depuis 20 ans ?

votre avatar

Je ne comprend pas comment toutes ces personnes peuvent avoir le droit d’utiliser soit des téléphones personnels, soit des téléphones pro + la possibilité technique d’installer ce qu’ils veulent dessus.
Qui plus est, pour des téléphones pro, aucun n’est lié à un gestionnaire de parc pour dégager certaines appli à distance en cas de soucis ?

votre avatar

Pas besoin de téléphone, j’utilise strava avec une montre GPS, que je peux synchroniser avec mon PC Perso chez moi, les données peuvent passer de la montre au site de strava sans qu’un tél soit nécessaire. Il facilite la synchro en l’automatisant, mais n’est pas indispensable.

votre avatar

Merci pour cet article riche comme d’habitude.



Remarque en passant à propos d’une petite erreur avec « qui s’est depuis avéré erroné » :
“avéré” vient de “vrai”, donc quelque chose peut s’avérer (= être vrai), mais ne peut pas « s’avérer faux »
-> la bonne tournure est « révélé erroné »

votre avatar

Oups, merci, j’ai corrigé

votre avatar

Cela m’a fait tout d’un coup relativiser l’incompétence de ma direction…



Visiblement même “l’elite” nationale est complètement conne et droguée aux réseaux sociaux.

votre avatar

Je me souviens quand cette histoire avait fait le buzz, je suis étonné que ça a mis 4 ans à être réellement corrigé.

votre avatar

Exagone313 a dit:


Je me souviens quand cette histoire avait fait le buzz, je suis étonné que ça a mis 4 ans à être réellement corrigé.


Moi aussi… 4 ans !

votre avatar

Précisément là où l’agent de la DGSE s’était géolocalisé ce jour-là sur Strava… Je contactais donc un ancien de la « Boîte » pour lui demander ce qu’il risquait si je rendais l’information publique : « cher, sauf s’ils sont plusieurs : dur d’en sanctionner un et pas les autres », me répondit-il.


Et pourquoi pas les sanctionner tous ?




il me fallait donc en trouver d’autres pour pouvoir en parler sans risquer de nuire à qui que ce soit en particulier.


Et pourquoi donc ? En général les journalistes ne se gênent pas pour sortir des affaires nominatives sur des personnalités en particulier. En plus là on parle de gens clairement fautifs.

votre avatar

Montrer l’universalité du problème aura surement plus de chance d’en faire
un cas d’école qui sensibilisera les personnes sur ce type de risque.



Ce que ferait plus difficilement quelques têtes qui tombent…
Et pour rester juste, il faudrait des remorques de tête coupées… De l’utilisateur, aux collègues qui ont entendu parlé de l’application, aux formateurs, responsables de sécurité,… On s’arrête ou ?



Même pour des gens avertis, c’est parfois compliquer de connaitre toute les possibilités d’une application à ce qu’elle fera de nos données (bien que le RGPD soit passé par là).



[ Jeter moi des pierres, j’ai mordu à l’hameçon :( ]

votre avatar

janvi a dit:


Ce que ferait plus difficilement quelques têtes qui tombent… Et pour rester juste, il faudrait des remorques de tête coupées… De l’utilisateur, aux collègues qui ont entendu parlé de l’application, aux formateurs, responsables de sécurité,… On s’arrête ou ?



Même pour des gens avertis, c’est parfois compliquer de connaitre toute les possibilités d’une application à ce qu’elle fera de nos données (bien que le RGPD soit passé par là).



[ Jeter moi des pierres, j’ai mordu à l’hameçon :( ]


Je ne trollais pas.
Vraiment, dire “si c’est qu’un seul on sanctionne, si c’est plusieurs on ne sanctionne pas”, ce serait comme sanctionner un voleur isolé mais pas un gang de cambrioleurs organisé, si tu vois ce que je veux dire (je grossis le trait évidemment). La logique m’échappe totalement. On fait une faute, on est puni, qu’on soit un seul ou une foule.



Quant à connaître les possibilités d’une appli, on parle d’agents de renseignement là, pas de Mme Michu. A ce niveau ca ressemble beaucoup à de l’amateurisme, sérieusement.

votre avatar

un truc que je ne pige pas, pourquoi ça fait super longtemps qu’on en a entendu parler et qu’on en entends encore parler, comment c’est possible qu’il faille 4 ans à une boite pour corriger ça




(reply:2080619:Drepanocytose) +1 pourquoi ils ne peuvent pas être tous sanctionner ? peut être parce que sanction veux dire être viré car c’est trop grave pour les garder et donc il faudrait qu’ils embauchent énormément et qu’en ce moment ils ne peuvent pas se permettre de les virer.


votre avatar

Ça a été découvert il y’a 4 ans . Ils ont mis autant de temps à colmater la brèche. C’est hallucinant. Nos services secrets n’ont pas anticipé l’invasion de l’Ukraine par la Russie.

votre avatar

janvi a dit:


Ce que ferait plus difficilement quelques têtes qui tombent… Et pour rester juste, il faudrait des remorques de tête coupées… De l’utilisateur, aux collègues qui ont entendu parlé de l’application, aux formateurs, responsables de sécurité,… On s’arrête ou ?
[..]
[ Jeter moi des pierres, j’ai mordu à l’hameçon :( ]


J’ai trouvé sa remarque inepte, oui ça ressemble à du troll.
Quel intérêt pour quiconque si Jean-Marc avait indiqué des noms, déjà en privé à la “boîte”, et encore pire si c’était dans un article public ?
Le simple fait d’insister auprès des services sur le sujet a dû suffire cette fois-ci à ce qu’en interne ça bouge et ça diffuse les bonnes consignes à tout le monde.
(effectivement comme tout le monde ça me surprend que le problème existe encore 4 ans après, chez des gens formés à la discrétion)




ashlol a dit:


un truc que je ne pige pas, pourquoi ça fait super longtemps qu’on en a entendu parler et qu’on en entends encore parler, comment c’est possible qu’il faille 4 ans à une boite pour corriger ça


En plus c’est pas “une boîte”, c’est un service de renseignement (plusieurs apparemment), le dernier auquel on s’attendrait à ce genre de négligence.




pourquoi ils ne peuvent pas être tous sanctionner ? peut être parce que sanction veux dire être viré car c’est trop grave pour les garder


Quand même pas, la gravité dépend du profil de ceux qui se sont dévoilés malgré eux.

votre avatar

h bien non OlivierJ, à un moment ca serait interessant que tu empeches ta suffisance naturelle de te faire considerer que toute opinion contraire à la tienne est du troll.
Exemple tres simple là :




Le simple fait d’insister auprès des services sur le sujet a dû suffire cette fois-ci à ce qu’en interne ça bouge et ça diffuse les bonnes consignes à tout le monde.


T’as lu l’article ou pas ? Par exemple ce passage :




Pire : 15 jours après la « Une » du Canard, je découvrais que le numéro deux de la DGSE, celui-là même en charge de la lutte contre les terroristes, utilisait lui aussi Strava, et que son profil n’avait toujours pas été désactivé.



Les services de renseignement, de sécurité et de contre-espionnage n’avaient non seulement pas été capables, dans les jours suivant le thread de Nathan Ruser, de « faire le job », mais ils ne semblaient donc pas non plus l’avoir correctement fait une fois l’information étalée en « Une » du Canard.


A un moment faut etre serieux, il y a des metiers qui ne devraient pas accepter de branques en leur sein.

votre avatar

Surtout OlivierJ, que tu es le premier à lapider Assange nommément sous pretexte qu’il aurait mis des agents en danger, ce qui est exactement le cas ici. Ces branques se mettent en danger, et partant de là leurs collegues aussi. Et je ne parle même pas du risque qu’ils font courir à la sécurité nationale….

votre avatar

Pas la peine de rappeler des évidences, surtout si tu lis mon commentaire, j’ai écrit ces phrases :



« (effectivement comme tout le monde ça me surprend que le problème existe encore 4 ans après, chez des gens formés à la discrétion) »



« En plus c’est pas “une boîte”, c’est un service de renseignement (plusieurs apparemment), le dernier auquel on s’attendrait à ce genre de négligence. »



Ça me paraît clair que si j’étais un peu haut dans la hiérarchie de la “boîte”, j’aurais pas du tout été content.

votre avatar

Tirnon a dit:


Donc si je comprends bien toute cette histoire, une faille majeure dans la sécurité de beaucoup de gens y compris des personnes dont c’est sensé être le métier découle uniquement de leur égo démesuré sur leurs performances sportive ?


C’est peut être pas tous pour de l’égo, certains l’utilisent peut être uniquement pour avoir les stats.



Mais oui ce genre d’outil est souvent là pour essayer d’avoir des likes etc autre (kudo sur strava je pense)



Perso j’ai un compte (pas strava) mais en full privé.

votre avatar

Dj a dit:


C’est peut être pas tous pour de l’égo, certains l’utilisent peut être uniquement pour avoir les stats.


C’est mon cas, avec Strava.




Mais oui ce genre d’outil est souvent là pour essayer d’avoir des likes etc autre (kudo sur strava je pense)
Perso j’ai un compte (pas strava) mais en full privé.


Ce qui a un côté sympa c’est d’avoir un compte non public mais avec des abonnés, j’aime bien suivre mes potes dans leurs activités (parfois avec de belles photos si c’est de la rando - à pied ou vélo - ou du “trail”), et parfois écrire ou recevoir des commentaires. C’est accessoirement le petit côté encouragement entre potes voire saine émulation (pour ceux qui ont un niveau proche).

votre avatar

Je comprends bien que ça peut avoir un certain intérêt pour le commun ( et encore il faut faire peut de cas de ses données personnel ) mais que des agents du renseignement ou des militaires l’utilisent c’est vraiment n’importe quoi.

votre avatar

C’est vrai, après un des soucis de notre époque c’est qu’elle nous demande d’être bon partout lorsque ca touche au numérique. Ce sont sans doute des hommes d’action, qui n’ont peut-être pas cette sensibilité/ ce savoir-faire

votre avatar

Mais Jean-Marc, est on sûrs que ces profils que tu as repèrés sont vrais et pas de simples pots de miel ? Ce qui explique assez bien l’absence de réaction réelle des services. Voire même si c’est le cas, ils doivent se féliciter de la publicité de ces enquêtes qui pourraient justement obfusquer les agents réels et permettre d’identifier plus facilement les personnes qui cherchent des agents par ce biais.

votre avatar

(reply:2081126:Beurt-le-vrai)


Hypothèse intéressante
:chinois:



(mais je ne sais pas si c’est le cas, je le crains)




Tirnon a dit:


Je comprends bien que ça peut avoir un certain intérêt pour le commun ( et encore il faut faire peut de cas de ses données personnel)


Ben si elles sont seulement disponibles pour des amis, où est le souci ?




mais que des agents du renseignement ou des militaires l’utilisent c’est vraiment n’importe quoi.


Oui oui on est d’accord, c’est ce que je disais dans mon commentaire précédent.

votre avatar

(reply:2081126:Beurt-le-vrai)


Oui : je ne m’étais bien évidemment pas contenté de regarder qui avait couru où, mais l’avais aussi corrélé en allant regarder leurs profils sur les réseaux sociaux, Facebook ou LinkedIn notamment, me permettant bien souvent de vérifier qu’ils étaient bien employés par les forces armées de leurs pays respectifs.

votre avatar

En fait, le bureau des légendes c’est du flan, c’est ça ? Et il faudrait que la DGSE s’en inspire.
Non mais franchement, ils ont des smartphones normaux et les utilisent tranquillou, c’est une blague ?!
Merci JMM, c’est des articles comme ceux-là qui rendent NXI indispensable.

votre avatar

C’est quoi ce besoin de tout quantifier, mesurer et surtout de le faire savoir à d’autres …
Toujours cette histoire de savoir qui a la plus grosse …

votre avatar

stephaix a dit:


Pas besoin de téléphone, j’utilise strava avec une montre GPS, que je peux synchroniser avec mon PC Perso chez moi, les données peuvent passer de la montre au site de strava sans qu’un tél soit nécessaire. Il facilite la synchro en l’automatisant, mais n’est pas indispensable.


Oui, et même si on passe par son mobile, ça ne rend pas les données publiques pour autant (ma montre est connectée en BT avec mon mobile, et c’est ensuite lui qui envoie chez Polar et Strava).

Comment Strava permettait de remonter la piste d’agents des renseignements français et étrangers

  • Sur la piste d'un des 7 nains de Blanche-Neige

  • Près de 20 agents de la DGSE en moins d'une semaine

  • L'agent de la DGSI identifié se renomme Paul Bismuth

  • Les Français plus « branques » que les autres ?

  • Une faillite pour le renseignement, une victoire pour l'OSINT

  • Des informations sur 100 personnes étaient visibles dans six bases

  • Le problème était bien systémique

Fermer