Comment Strava permettait de remonter la piste d’agents des renseignements français et étrangers

Il était possible, depuis 2018, d'identifier des centaines d'agents de plusieurs services de renseignement occidentaux (NSA, CIA, GCHQ, Mossad, etc.), sur le réseau social de sportifs Strava. La faille n'a été corrigée que la semaine passée.

La première partie de cet article revenait sur l'improbable série de circonstances ayant entraîné la « heatmap » mondiale des courses géolocalisées des utilisateurs du réseau social de sportif Strava à faire la « Une » des médias du monde entier.

• Des centaines d’agents de services de renseignement étaient « à poil » sur Strava, depuis 4 ans

Strava, qui l'avait initialement présentée en novembre 2017, comme « le plus grand, le plus riche et le plus beau jeu de données de ce type », ne pouvait anticiper que le premier réflexe d'un étudiant australien de 20 ans, par ailleurs féru d'OSINT et de renseignement, serait de regarder à quoi y ressemblait la Syrie.

Fin janvier 2018, il découvrait que des utilisateurs de Strava s'étaient géolocalisés en Syrie, pays en guerre où seuls des militaires occidentaux, en opérations extérieures (OPEX) auraient pu s'y connecter. Il découvrait dans la foulée qu'on pouvait également y identifier de nombreuses autres bases, y compris en Occident.

Le lendemain, d'autres adeptes de l'OSINT précisaient qu'il était également possible de savoir quels utilisateurs de Strava s'étaient géolocalisés sur tels ou tels « segments » (ou bouts de courses), et commençaient à identifier des dizaines de militaires.

Un développeur britannique expliquait en outre un « hack » permettant de simuler le fait d'avoir couru à n'importe quel endroit, de créer puis de téléverser sur Strava de « vrai-faux segments » susceptibles d'identifier tous les utilisateurs de Strava s'y étant géolocalisés.

Dans la foulée, Strava rappelait à ses utilisateurs qu'ils pouvaient modifier leurs paramètres de confidentialité pour y faire figurer des « zones de confidentialité » où ils ne pourraient être géolocalisés. Le réseau social s'engageait de plus à « travailler avec les responsables militaires et gouvernementaux pour traiter les données potentiellement sensibles ».

Les autorités militaires américaines et françaises, prenant l'affaire très au sérieux, déclaraient de leur côté qu'elles allaient enquêter à ce sujet, et qu'elles avaient rappelé « la nécessité de respecter les règles élémentaires de sécurité en opération, par exemple déconnecter les objets, comme les montres, les iPhone ou encore Strava. »

Cet enchaînement de circonstances, en une période de trois jours seulement, aurait a priori pu (et dû) remettre les choses dans l'ordre, et permettre de colmater la brèche. A priori.

Sur la piste d'un des 7 nains de Blanche-Neige

N'ayant découvert l'existence même de Strava que ce week-end-là, il me fallut quelques jours pour en comprendre et maîtriser les nombreuses fonctionnalités,  puis la façon qu'ont ses utilisateurs de s'en servir.

Partant du postulat (erroné) qu'un agent de la DGSE n'utiliserait pas sa véritable identité, j'avais commencé à m'intéresser aux utilisateurs recourant à des pseudos. L'un d'entre eux, qui avait pris pour pseudo le nom de l'un des 7 nains de Blanche-Neige, me fit penser à « Malotru », personnage de Mathieu Kassovitz dans la série Le Bureau des légendes.

Et, bingo : non content de s'être géolocalisé, plusieurs fois, à l'intérieur de la caserne Mortier et de celle des Tourelles, les deux bâtiments du QG de la DGSE, il s'était également géolocalisé à l'intérieur du Fort de Noisy, en Seine-Saint-Denis, l'une des principales annexes de la DGSE en région parisienne.

« Lunch run » entre les casernes Mortier et des Tourelles de la DGSE, 4 jours après la découverte de la faille de sécurité sur Strava

Je savais dans quelle rue mon « client » habitait, là où il était allé en vacances, mais il avait si bien compartimenté ses activités qu'il me fallut cinq jours pour le désanonymiser. À force de scruter son profil, je découvris qu'il avait fait des courses de 21 et 42 kilomètres, qu'il s'agissait de (semi-)marathons, et j'entrepris donc de comparer ses performances sur Strava avec les résultats officiels desdites courses, disponibles sur leurs sites web.

Un profil pouvait potentiellement correspondre, mais jamais à la seconde près. Probablement parce que les utilisateurs de Strava déclenchent puis éteignent leurs GPS au départ et à l'arrivée de la course, quand leurs performances réelles ne sont décomptées, de leur côté, qu'à la seconde où ils franchissent la ligne de départ puis d'arrivée.

Près de 20 agents de la DGSE en moins d'une semaine

En pivotant sur les prénom et nom du « suspect » potentiel, je découvrais un compte Facebook, où figurait en photo de profil un homme en tenue de jogging, photo qu'il avait lui-même géolocalisée et horodatée dans une ville de Bretagne où il était alors en vacances.

Précisément là où l'agent de la DGSE s'était géolocalisé ce jour-là sur Strava... Je contactais donc un ancien de la « Boîte » pour lui demander ce qu'il risquait si je rendais l'information publique : « cher, sauf s'ils sont plusieurs : dur d'en sanctionner un et pas les autres », me répondit-il. 

Il me fallait donc en trouver d'autres pour pouvoir en parler sans risquer de nuire à qui que ce soit en particulier. Mais également pour mesurer s'il s'agissait d'une exception, d'une erreur individuelle, ou bien d'un problème plus structurel, voire systémique.

Ces cinq premiers jours d'enquête m'avaient permis de mieux comprendre le fonctionnement de Strava, et comment s'en servaient ses utilisateurs. Il ne me fallut donc que quelques heures pour en trouver d'autres, s'étant eux aussi géolocalisés à l'intérieur des casernes Mortier et des Tourelles, au Fort de Noisy, ainsi que dans d'autres bases, centres d'entrainement et stations d'écoute de la DGSE, en France et à l'étranger (j'en avais effectivement dressé la carte, il y a quelques années).

Une semaine plus tard, j'avais réussi à identifier près d'une vingtaine d'agents de la DGSE, y compris dans l'une des bases du service Action de la DGSE, à Quélern, sur la presqu’île de Roscanvel, dans la rade de Brest, comme je l'avais alors raconté dans Le Télégramme.

Pour plus de la moitié d'entre eux, il était en outre possible de remonter jusqu'à leurs véritables identités, leurs domiciles privés voire, via Facebook, leurs conjoints, parents, amis, enfants, photos comprises.

Mon enquête allait bien au-delà d'une information d'intérêt public. J'avais identifié une faille de sécurité affectant plus d'une vingtaine d'agents du renseignement, en un peu plus de 5 jours seulement et ce, alors que le problème avait été publiquement exposé au monde entier deux semaines auparavant.

Le temps de contacter le Canard Enchaîné (de manière sécurisée pour éviter tout risque de compromission), de lui faire parvenir mon enquête, de lui permettre de la vérifier, mais également de contacter la DGSE pour obtenir une réaction et qu'elle puisse prendre les mesures d'urgence susceptibles de protéger ses agents, l'info finissait par être publiée le mercredi 21 février.

Le @canardenchaine en remet une couche sur l’utilisation imprudente de Strava par les agents de la DGSE pic.twitter.com/vlQ1LOa5lI

— Olivier Tesquet (@oliviertesquet) February 21, 2018

L'agent de la DGSI identifié se renomme Paul Bismuth

Cherchant à m'assurer que les profils identifiés avaient bien été passés en « privé », voire désactivés, je découvrais qu'au moins un des agents de la DGSI, identifié alors qu'il joggait à l'intérieur de sa station d'écoute et au « pôle d'expertise en investigation numérique » de Boullay-les-Troux (Essonne), continuait à s'y géolocaliser sur Strava.

Le Canard Enchaîné n'avait certes mentionné que les seuls agents de la DGSE que j'avais réussi à identifier, mais j'avais bien évidemment aussi cherché à vérifier si certains de leurs « cousins » du renseignement intérieur pouvaient eux aussi s'en servir...

Et ce n'est qu'après avoir révélé, dans Le Point, un mois plus tard, que les profils des huit agents de la DGSI que j'avais identifiés étaient toujours « à poil sur Strava » (les autres étaient inactifs) qu'il renomma son profil... Paul Bismuth. Soit le faux nom utilisé par l'avocat de Nicolas Sarkozy pour acheter deux cartes SIM censées lui permettre de communiquer de façon sécurisée avec son client, alors placé sur écoutes.

Pire : 15 jours après la « Une » du Canard, je découvrais que le numéro deux de la DGSE, celui-là même en charge de la lutte contre les terroristes, utilisait lui aussi Strava, et que son profil n'avait toujours pas été désactivé.

Les services de renseignement, de sécurité et de contre-espionnage n'avaient non seulement pas été capables, dans les jours suivant le thread de Nathan Ruser, de « faire le job », mais ils ne semblaient donc pas non plus l'avoir correctement fait une fois l'information étalée en « Une » du Canard.

Une autre hypothèse voudrait que l'intendance n'ait pas suivi. Il fallu en effet attendre plus de 15 jours après que l'info sur la passion du directeur du renseignement pour le marathon connecté fut rendue publique par Intelligence Online pour que son profil disparaisse de Strava.

Les Français plus « branques » que les autres ?

Sur ce, il me fallait aussi vérifier si les Français étaient plus « branques » que les autres, ou pas. J'entrepris donc d'identifier sur Strava d'éventuels agents de la NSA, de son homologue britannique le GCHQ, ou encore d'Israéliens de l'Unité 8200, réputée pour ses hackers d'élite.

Contrairement à la DGSE et la DGSI, nombre de leurs unités figurent dans des enclaves militaires fermées, où ne figuraient pas, ou peu, de segments Strava. Ce pour quoi j'utilisais le mode d'emploi de Steve Loughran pour créer de toutes pièces de vrais-faux segments dans ces enclaves hautement sécurisées, physiquement en tout cas.

Et si je n'ai découvert que quelques soldats israéliens, j'ai pu identifier des dizaines, et même plus d'une centaine, d'agents américains et britanniques. À l'époque, Strava proposait une fonctionnalité « replay » permettant de visualiser les courses, à l'instar de celle-ci, effectuée depuis et jusqu'à l'entrée « visiteur » du QG de la NSA à Fort Meade, dans le Maryland, par au moins 7 utilisateurs de Strava, à l'occasion de la cérémonie de départ de l'un de ses anciens hauts dirigeants : 

L'exercice était suffisamment instructif, pour que je m'en serve auprès de mes étudiants en journalisme, trop contents de pouvoir ainsi apprendre leur métier en s'attelant à géolocaliser ceux qu'Edward Snowden venait de faire passer pour des « maîtres du monde cyber ». 

Et ce, alors qu'il était donc possible de les géolocaliser en quelques minutes sur Strava, puis de les identifier sur Facebook (notamment) en quelques dizaines de minutes, pour certains. Taquins, quelques étudiants allèrent jusqu'à chercher des profils liés à la CIA, au GIGN et au Mossad.

Captures d'écran d'extraits de compte-rendus de mes étudiants en journalisme

Je précise, à toutes fins utiles, que je leur expliquai qu'ils avaient interdiction formelle de rendre publiques leurs découvertes, qu'il s'agisse des segments ou des personnes identifiés, et que l'exercice était à vocation pédagogique : s'il est possible de retrouver des infos sur des agents du renseignement, il devrait donc être possible de pouvoir le faire sur n'importe qui !

J'avais également contacté plusieurs médias internationaux et français, mais aucun ne m'ayant répondu, je n'avais pas rendu publique ces infos jusqu'alors. La fermeture de mon compte Strava, la semaine passée, a changé la donne. 

Les segments que j'avais créés ont été effacés, il est donc bien plus difficile d'identifier les agents de services de renseignement étrangers que, depuis 4 ans, j'avais pu géolocaliser. Cela faisait quelque temps que je pensais en parler sur Next INpact, ce que je peux donc enfin faire sans risquer de compromettre qui que ce soit.

Une faillite pour le renseignement, une victoire pour l'OSINT

Ironie de l'histoire, cette fermeture ne résulte pas d'enquêtes émanant de la NSA, du GCHQ, de l'Unité 8200 ni de l'un des autres services de renseignement auxquels je m'étais intéressé, pas plus que de Strava, qui avait pourtant expliqué dès le 29 janvier 2018 qu'il s'engageait à « travailler avec les responsables militaires et gouvernementaux pour traiter les données potentiellement sensibles ».

Elle fait suite à un signalement de FakeReporter, un collectif Israélien d'experts de l'OSINT et de la lutte contre la désinformation. Il avait en effet repéré que « de faux profils ont utilisé Strava pour espionner le personnel de sécurité israélien travaillant sur des sites sensibles en Israël », explique The Jerusalem Post : 

« FakeReporter a commencé à enquêter sur le problème après avoir reçu un signalement concernant une activité suspecte sur l'application Strava. La dénonciation a révélé un profil anonyme qui avait téléchargé des données GPS artificielles dans les bases de Tsahal et les installations de sécurité sensibles. »

Our researchers estimate that this data mining method was used to identify at least 100 individuals using Strava while exercising in at least six top-secret installations in Israel. pic.twitter.com/UGuoeGiAen

— פייק ריפורטר | FakeReporter (@FakeReporter) June 21, 2022

L'article ne mentionne pas mon profil, mais celui d'un certain « Ez Shl », dont « l'activité indique que l'utilisateur avait l'intention de produire des segments dans des zones sensibles pour la sécurité en Israël afin de collecter des informations sur les personnes servant dans ces lieux classifiés ».

D'après The Guardian, cet utilisateur anonyme, « dont la localisation est indiquée comme étant "Boston, Massachusetts" », avait créé une série de faux segments à proximité de plusieurs bases militaires en Israël, « y compris des avant-postes des agences de renseignement du pays et des bases hautement sécurisées que l'on pense être associées à son programme nucléaire » :

« Les segments artificiels étaient situés à proximité de sites tels que le quartier général du Mossad, la base Kanaf 2 de l'armée de l'air israélienne, une base près du réacteur nucléaire de Dimona, la base Bahad 1 et la base Palmachim, entre autres. » 

Des informations sur 100 personnes étaient visibles dans six bases

« Nous avons contacté les forces de sécurité israéliennes dès que nous avons eu connaissance de cette faille de sécurité », explique Achiya Schatz, directeur exécutif de FakeReporter. « Après avoir reçu l'approbation des forces de sécurité, FakeReporter a contacté Strava, qui a réuni une équipe pour résoudre le problème » : 

« Malgré les révélations passées, il ne semble pas que les agences de sécurité israéliennes aient rattrapé leur retard. Bien que Strava ait apporté des mises à jour importantes à ses paramètres de confidentialité, les utilisateurs déroutés pourraient toujours être exposés publiquement, même si leurs profils étaient définis en mode "privé". »

La BBC rapporte que « des informations sur 100 personnes ayant exercé dans six bases étaient visibles ». Le profil d' « Ez Shl » laisse entendre qu'il ne se comportait pas de manière professionnelle, ou qu'il n'avait pas bien compris comment rendre ses faux segments réalistes, afin de passer sous le fil des radars. Ils comportaient en effet « des lignes GPS droites, aucun temps et un rythme irréaliste, comme parcourir 500 m en 0 seconde ».

« Nous prenons très au sérieux les questions de confidentialité et nous avons été informés par un groupe israélien, FakeReporter, d’un problème de segment concernant un compte utilisateur spécifique et nous avons pris les mesures nécessaires pour remédier à cette situation », précise un communiqué de Strava consulté par le Guardian.

Le problème était bien systémique

Sur Twitter, FakeReporter estime que « le plus étonnant » est que « ces expositions ne semblent pas avoir entraîné de changement dans les procédures des organes de sécurité », alors même que « cette omission les met en danger. Et nous aussi » : 

« Cette faille de sécurité représente un large potentiel de préjudice. La capacité de collecter des informations de n'importe où, n'importe quand, est alarmante. Il s'agit d'une sérieuse avancée dans les capacités d'espionnage non seulement ici, mais après les pays et le personnel de sécurité du monde entier. »

De fait, le problème n'est pas que des agents de divers services de renseignement aient improprement utilisé Strava, même s'il leur aurait suffi d'activer/désactiver leur GPS à l'extérieur de leurs lieux de travail pour éviter d'être identifié. L'erreur est humaine, et la majeure partie d'entre eux s'étaient géolocalisés avant le thread de Nathan Ruser et les articles qui ont suivi. Même s'il m'est arrivé, depuis, d'en trouver quelques autres continuant à s'y géolocaliser.

Le problème, c'est que non seulement les services de sécurité et de contre-espionnage français n'avaient pas été capables de le vérifier dans les jours qui ont suivi, en 2018, mais aussi et surtout que plusieurs services étrangers ne l'avaient donc toujours pas identifié quatre ans plus tard.

Strava ne précise pas combien d'autres comptes ont été fermés. Mais un autre OSINTer, @obretix, dont le compte a lui aussi été fermé, souligne l'ironie de l'histoire : 

« "Nous examinons souvent les informations et les activités des comptes", explique @Strava. C'est donc juste une coïncidence qu'une faille connue publiquement depuis plus de 4 ans soit soudainement devenue un problème parce que quelqu'un l'a signalé aux forces de sécurité israéliennes. »

Suite à ma première enquête sur les agents de la DGSE et de la DGSI, une chaîne de service publique avait refusé d'y consacrer un reportage dans son JT, au motif que cela pourrait donner des idées à des terroristes. À quoi j'avais répondu que le problème relevait bien plus de la capacité d'autres services de renseignement de faire de même. Je ne mesurais pas, alors, à quel point les services occidentaux ne prendraient finalement pas en compte cette potentialité.

De plus, taire ce genre de failles reviendrait à les cacher sous le tapis, dans l'espoir que personne ne les remarque. A contrario, les rendre publiques permet de lancer l'alerte dans l'espoir qu'elles puissent être colmatées, ou que leurs potentielles victimes puissent y remédier.

À ce titre, j'ai eu l'occasion d'évoquer ma première enquête dans de nombreuses conférences faites auprès de directeurs de la sécurité de grands groupes, au sein desquels figuraient d'anciens membres de plusieurs services de renseignement. Aucun ne m'en a fait grief. Au contraire, beaucoup vinrent me remercier d'avoir « fait le job ».