Des centaines d’agents de services de renseignement étaient « à poil » sur Strava, depuis 4 ans
GPSpions heatmapped
MàJ, 28/10/2024 : cet article, que nous remettons en avant à l'occasion des StravaLeaks du Monde, date de 2022, tout comme le second article que nous avions consacré à notre enquête : Comment Strava permettait de remonter la piste d’agents des renseignements français et étrangers.
Le réseau social de sportifs Strava vient de fermer le compte de certains de ses utilisateurs. Il les accuse d'avoir simulé de fausses courses afin d'identifier des agents du renseignement israélien s'étant géolocalisés à proximité de bases militaires.
À titre d'exception, cet article est rédigé à la première personne pour rendre compte d'une situation particulière. La semaine passée, j'ai en effet reçu un e-mail de Strava. Le réseau social des sportifs, qui a dépassé les 100 millions d'utilisateurs enregistrés en mai dernier, m'informait : « Votre compte a été signalé comme suspect et nous vous écrivons pour vous informer qu'après enquête, nous désactiverons votre accès ».
« L'application nº 1 pour les coureurs et les cyclistes », qu'ils utilisent pour partager la géolocalisation de leurs courses avec leurs amis (voire avec n'importe quel autre utilisateur de Strava), précise en effet que « le téléchargement d'activités manipulées est interdit et nos normes communautaires sont claires » :
« Nous examinons souvent les informations de compte et les activités sur Strava pour déterminer quand quelqu'un peut essayer de déformer ses réalisations et ses records sportifs. À la suite de ces violations, votre compte sera définitivement suspendu. »
J'avais, effectivement, envoyé sur Strava les coordonnées géolocalisées et horodatées de quelques dizaines de courses que je n'avais pas effectuées moi-même, mais que j'avais générées via des sites web permettant de simuler ce que Strava qualifie de « segments », à savoir le temps pour passer d'un point A à un point B.
« Nous promouvons le fair-play, en ligne et dans la vraie vie », explique le réseau social. « Si vous trichez, vos activités n’ont pas de place sur Strava », notamment en cas de « données GPS manipulées » :
« Si vous utilisez un site Web tiers pour manipuler vos données GPS, en particulier si c'est pour améliorer vos temps de segment, vous ne pouvez pas télécharger ces données sur Strava. Cela inclut le téléchargement de fichiers d'itinéraire sur votre compte Strava. Le non-respect de cette directive peut entraîner la suppression du compte. »
Mon compte Strava a donc été supprimé. Pour autant, je n'avais pas utilisé ces coordonnées GPS pour « tricher » ni faire croire que je courrais plus vite que d'autres, mais pour tenter de vérifier si l'on pouvait y identifier des agents de services de renseignement étrangers, comme j'avais déjà pu le faire en 2018 avec des agents de la DGSE et de la DGSI.
Quand j'ai trouvé un joggeur se géolocalisant au QG de la DGSE, j'ai demandé à un ancien ce qu'il risquait: "cher, sauf s'ils sont plusieurs: dur d'en sanctionner un et pas les autres".
— jean marc manach (@manhack) March 30, 2018
Au final, j'en ai trouvé plus de 25 (à la DGSI aussi)... dont le n°2 :https://t.co/SuPMgjlaNF
Quand je vois une jolie carte, je vais généralement en Syrie
Début 2018, Nathan Ruser, un étudiant australien de 20 ans qui, comme l'expliqua le Sidney Morning Herald, espérait alors pouvoir travailler dans la communauté du renseignement, découvrait la « heatmap » de Strava.
Lancée en novembre 2017, le réseau social l'avait alors présentée comme « le plus grand, le plus riche et le plus beau jeu de données de ce type » :
« Il s'agit d'une visualisation de deux années de données de suivi du réseau mondial d'athlètes de Strava. Pour donner une idée de l'échelle, la nouvelle heatmap se compose de :
-
- 700 millions d'activités
- 1,4 trillion de points de latitude/longitude
- 7,7 trillions de pixels pixellisés
- 5 téraoctets de données d'entrée brutes
- Une distance totale de 16 milliards de km (10 milliards de miles)
- Une durée d'activité totale enregistrée de 100 000 ans. »
Strava précisait que « plus important encore, la heatmap ne contient que des activités publiques et respecte tous les paramètres de confidentialité » et que « des filtres supplémentaires suppriment les données erronées » :
« Nous excluons également toutes les activités "virtuelles", telles que les trajets Zwift, car ces activités contiennent de fausses données GPS. »
Or, comme Ruser l'expliqua au Sidney Morning Herald : « Dès que je vois une jolie carte, je vais généralement voir à quoi y ressemble la Syrie ; or, à la seconde où vous la regardez, les bases militaires s'illuminent ».
Heatmap Strava d'une potentielle base américaine au nord d'Hassaké, siège de trois batailles entre Kurdes, l'EI et l'armée syrienne
Qui aurait pu penser qu'un Fitbit détruirait l'OPSEC de militaires ?
Le samedi 27 janvier, il consacrait un thread, sur Twitter, à la « heatmap » de Strava, qui permettait d'identifier des bases militaires américaines, turques, russes, et même des bases opérationnelles avancées, et donc sécurisées et fortifiées, parce que situées en avant poste, en Afghanistan :
Strava released their global heatmap. 13 trillion GPS points from their users (turning off data sharing is an option). https://t.co/hA6jcxfBQI … It looks very pretty, but not amazing for Op-Sec. US Bases are clearly identifiable and mappable pic.twitter.com/rBgGnOzasq
— Nathan Ruser (@Nrg8000) January 27, 2018
« Si les soldats utilisent l'application comme le font les gens normaux, en l'activant lorsqu'ils vont faire de l'exercice, cela pourrait être particulièrement dangereux. Je ne devrais pas être capable d'identifier ce type d'informations à de telles distances », expliquait Ruser.
Ce fil, devenu viral, entraîna d'autres utilisateurs de Twitter à identifier de nombreuses courses effectuées sur des bases militaires, parfois floutées, dans le monde entier.
L'un d'entre eux, Paul D, remarqua qu'une fois connecté à Strava, il était en outre possible d'identifier certains segments sur ces courses géolocalisées, et d'y associer les comptes de ceux qui y étaient passés. Il expliqua ainsi avoir identifié un soldat qui s'était d'abord géolocalisé sur une base militaire en Irak, puis à son domicile, en France.
« Qui aurait pu penser que la sécurité opérationnelle (OPSEC) [de militaires, ndlr] pouvait être détruite par un Fitbit ? », s'étonna Nathan Ruser auprès du New York Times, expliquant vouloir aider les gouvernements à « remédier à leurs vulnérabilités ».
Il est possible de désanonymiser les données de Strava
L'info fut reprise dans le monde entier, Wired expliquant par exemple qu' « il est possible de désanonymiser les données de Strava et de montrer exactement qui faisait de l'exercice entre les murs de certaines des installations les plus secrètes du monde » :
« En cherchant des données pour un lieu géographique spécifique – une installation d'armement nucléaire, par exemple – il est possible de voir les noms, les vitesses de course, les itinéraires de course et les fréquences cardiaques de tous ceux qui ont partagé leurs données de fitness dans cette zone. »
Dans la foulée, le site d'enquêteurs OSINT Bellingcat publiait un mode d'emploi, soulignant notamment que « l'activité GPS peut facilement être usurpée et les utilisateurs peuvent intentionnellement falsifier les données à leur guise ».
Steve Loughran, un développeur britannique, publiait quant à lui un petit manuel de « désanonymisation avancée via Strava ». La procédure est simple à comprendre, bien qu'un peu plus compliquée à mettre en œuvre :
« Tout d'abord, trouvez un endroit sensible, comme la base sous-marine nucléaire de Faslane au Royaume-Uni. Observez les zones chaudes [sur la heatmap de Strava, ndlr]. Maintenant, allez sur MapMyRide et connectez-vous pour créer un nouvel itinéraire à l'aide des données satellites. Téléchargez le fichier GPX [qui] contient les valeurs Lat/Long de l'itinéraire. »
Il précisait ensuite les petites manipulations à faire dans le fichier pour y rajouter des données horodatées, de sorte qu'il soit importable dans Strava : « Il n'est pas nécessaire que l'heure soit valide, il suffit de la ralentir suffisamment pour que Strava ne pense pas que vous conduisiez et vous dénonce pour avoir triché ».
« La prochaine étape est la plus sournoise. Créez un segment et transformez une partie ou la totalité de l'itinéraire en un segment Strava. Une fois que Strava aura parcouru ses bases de données, vous pourrez voir les 10 meilleurs coureurs par sexe/groupe d'âge, quand ils ont couru, avec qui ils ont couru. Et, si leur profil n'est pas suffisamment verrouillé : sur quelles autres bases militaires ils se sont rendus. »
Il suffit de regarder la carte du GCHQ ou de la zone 51
Dans une mise à jour, publiée le 29 janvier, Loughran expliquait avoir supprimé son segment :
« Les noms de certaines personnes y apparaissaient, ce qui montre que, oui, il est possible, à partir d'une carte thermique, d'identifier les personnes qui ont emprunté le même itinéraire. Il n'est pas nécessaire de blâmer ces personnes ici, j'ai donc retiré le segment pour préserver leur anonymat. »
« Je ne sais pas ce que Strava fera à long terme, mais pour que cela ne se reproduise plus, il faudra qu'ils aient un moyen de marquer une zone comme "zone privée pour tous les utilisateurs" », précisait-il :
« C'est faisable. Ensuite, il faut aller voir les différents gouvernements et leur dire "Donnez-nous une liste de sites secrets que vous ne voulez pas que nous couvrions". Ce qui, à moins que les gouvernements n'incluent des zones aléatoires comme des chaînes de montagnes au milieu du pays de Galles, constitue une liste intéressante en soi. »
Le billet de Loughran avait été explicitement mentionné dans l'article de Wired, qui évoquait également un article du Guardian qui avait découvert « les noms de plus de 50 militaires américains dans une base en Afghanistan » :
« Vous voulez savoir comment les gens se déplacent dans les bases militaires américaines à Beyrouth ? Et au GCHQ ou dans la zone 51 ? C'est simple. Il suffit de regarder la carte. »
Sauf s'il existe des zones de confidentialité
Le problème avait donc largement été exposé, en deux jours seulement. Strava, de son côté, avait prestement réagi en renvoyant à un billet de juillet 2017 expliquant « Comment gérer votre vie privée sur Strava » :
« Rien n’est plus important que la sécurité de notre communauté, et notre devoir est de vous fournir les outils indispensables vous permettant de filtrer ce que vous souhaitez réellement partager. »
« Nous avons mis en place une équipe spécialisée qui se réunit régulièrement pour améliorer constamment les règles de sécurité sur Strava », précisait le réseau social. Il rappelait ainsi avoir développé plusieurs fonctionnalités, dont une permettant de « créer des zones de confidentialité » :
« Les zones de confidentialité masqueront des parties de votre activité qui débute ou finit dans une zone géographique que vous ne souhaitez pas partager. Par exemple, si vous souhaitez que personne ne sache où vous habitez, où vous travaillez, vous pouvez régler une zone de confidentialité comprise entre 200 m et 1 km autour de chez vous, ou autour de votre bureau. »
Le lundi 29 janvier, en réaction aux découvertes de Nathan Ruser, le CEO de Strava publiait un billet expliquant prendre l'affaire très au sérieux, et détaillant ce que ses équipes avaient alors entrepris :
- « Nous nous engageons à travailler avec les responsables militaires et gouvernementaux pour traiter les données potentiellement sensibles.
- Nous examinons les fonctionnalités qui ont été conçues à l'origine pour la motivation et l'inspiration des athlètes afin de nous assurer qu'elles ne peuvent pas être compromises par des personnes mal intentionnées.
- Nous continuons à mieux faire connaître nos outils de confidentialité et de sécurité.
- Nos équipes d'ingénierie et d'expérience utilisateur simplifient nos fonctionnalités de confidentialité et de sécurité afin que vous sachiez comment contrôler vos propres données. »
Nous avons fait un rappel en interne... ou pas
Ce même 29 janvier, le porte-parole du Pentagone expliquait au Military Times que le secrétaire à la Défense avait ordonné une enquête au sujet de cette vulnérabilité : « nous examinons nos politiques à l'échelle du département pour déterminer si [elles] doivent être mises à jour » :
« Le DoD prend des questions comme celles-ci très au sérieux et examine la situation pour déterminer si une formation ou des conseils supplémentaires sont nécessaires, et si une politique supplémentaire doit être élaborée pour assurer la sécurité continue du personnel du DoD au pays et à l'étranger. »
- Emplacement des bases militaires : Strava travaille avec les autorités
- Dans certains cas, Strava aurait désactivé la possibilité de créer des nouveaux segments
- Strava ajoute une option pour ne pas apparaître sur la carte Global Heatmap
Le lendemain, un porte-parole du ministère français des Armées déclarait au Monde avoir « mis en garde les militaires contre les dangers en matière de sécurité » liés à l’application de jogging Strava :
« Nous avons fait un rappel en interne de la nécessité de respecter les règles élémentaires de sécurité en opération, par exemple déconnecter les objets, comme les montres, les iPhone ou encore Strava. »
Trouver des soldats français ? Trop facile...
La quasi-totalité des articles s'étant focalisé sur les soldats américains, numériquement plus nombreux à utiliser Strava, j'ai commencé à chercher des soldats français.
Or, il suffisait de survoler la heatmap de Strava dans les pays dont on sait qu'ils accueillent des bases militaires françaises pour voir que les abords de ces enclaves militaires brillaient bien plus qu'ailleurs.
Et il suffisait ensuite de se connecter à Strava pour y identifier des segments. Puis d'y retrouver qui y avait couru et, partant, les profils de nombreux utilisateurs dont les courses, en France, révélaient qui leurs unités militaires d'affectation, qui leurs domiciles privés. La semaine, les joggers courent en effet souvent aux abords de leurs employeurs pendant leurs pauses déjeuner, tandis que le week-end et durant leurs congés ils jouent à domicile.
De plus, il était si facile de trouver, en quelques dizaines de minutes seulement des dizaines de militaires français (c'est toujours le cas), qu'il me fallait trouver un autre angle. J'étais en effet persuadé que d'autres journalistes se saisiraient du sujet (en fait, il fallu attendre décembre 2020 pour que Mediapart publie une sérieuse enquête à ce sujet). Je me suis donc tourné vers le boulevard Mortier, siège de la DGSE, le service de renseignement extérieur français.
Les agents du renseignement ayant interdiction de révéler publiquement leur affectation, il en allait aussi de questions de sûreté et de sécurité nationale, et donc d'une information d'intérêt général, susceptible de contribuer au débat public.
Encore fallait-il en trouver, ce qui fera l'objet de la seconde partie de cette petite tragi-comédie :
Commentaires (30)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 01/07/2022 à 10h48
Franchement ce délire d’utiliser une application pour tout et de se faire mousser sur le net…
Les mecs se rendent même pas compte qu’ils s’exposent eux et leur famille tellement bêtement.
Le 01/07/2022 à 11h03
Ce n’est pas nouveau comme problème. J’en avais déjà entendu parlé il y a quelques années. Mais c’est étonnant qu’ils n’aient pas résolus le problème entre temps.
Modifié le 28/10/2024 à 16h45
Le 28/10/2024 à 17h21
Le 30/10/2024 à 09h38
Le 01/07/2022 à 11h03
Je ne comprends même pas que des agents de renseignements utilisent ce genres d’applications pendant leurs missions… Ça me dépasse de manquer tellement de bons sens
Le 01/07/2022 à 11h19
En même temps, je te mets au défi de trouver une appli qui enregistre ton parcours et test données sur ton smartphone (mn/km, dénivelé, … histoire de suivre tes progressions) ET qui ne soit pas communautaire.
J’ai passé deux heures à essayer de trouver sur google play (même en payant) une appli qui ne m’oblige pas à créer un compte, et j’ai fini par abandonner et n’ai rien installé, mais je suis frustré.
Et si tu achètes une montre c’est pareil.
Le 01/07/2022 à 11h36
Tu as cette application là, pas besoin de compte, s’installe par le portail d’applications alternatif F-droid.
https://codeberg.org/jannis/FitoTrack
Le 01/07/2022 à 12h19
J’utilise Notify for Amazfit, j’ai jamais créé de compte (je pense même pas que ce soit possible ?)
Le 01/07/2022 à 12h24
J’utilise celle de decathlon
Le 01/07/2022 à 11h27
Ce que je ne comprends pas, c’est que ces gens (vu leur métier) ne mettent pas leurs sorties en mode privé, à partager seulement avec leurs contacts (comme ce qu’on fait sur FB).
Pour ma part, je mets rarement mes sorties en mode “public”, mais pas parce que je suis militaire ou autre, juste par choix.
Il y en a plein. J’en ai une depuis longtemps sur mon mobile, dont je ne me sers plus à présent que j’ai une montre GPS de sport.
Le 01/07/2022 à 11h44
Faudrait tous les virer et les enfermer: ils mettent leurs collègues en danger.
Juste pour info, c’est exactement pour cette raison (mise en danger d’agents) que des idiots acceptent ce qui arrive à Assange. Ici c’est pareil : au trou les idiots.
Le 01/07/2022 à 11h45
L’application “Forme” d’Apple, avec l’exercice “Course libre” de lancé sur l’Apple Watch :)
Le 01/07/2022 à 13h47
Mais de base, comment ça se fait que des types puissent partir en mission militaire avec des objets connectés civils avec GPS et tout, ça devrait être interdit ! Ces trucs n’existaient pas avant et on s’en passait !
Le 01/07/2022 à 13h49
Pour ma part, ce qui me surprend, c’est qu’on autorise des appareils privés alors qu’ils sont en mission. En départ de mission, ils devraient laisser tous les objets connectés chez eux.
Le 01/07/2022 à 14h38
Non mais le problème c’est leur métier et le fait d’utiliser des applications non sécure pendant leur service ….
Le 01/07/2022 à 17h04
OpenTracks sur F-droid
Le 01/07/2022 à 18h00
Un montre GPS pour moi n’est pas un appareil connecté. La mienne ne se connecte qu’à mon mobile, en BT, pour transférer les données. Après ça part sur le site du fabricant où j’ai un compte, mais c’est privé par défaut.
Difficile aussi de leur interdire d’avoir un mobile, mais tu peux avoir un mobile qui ne divulgue nulle part sa position sur un site public (cas par défaut aussi).
Le 28/10/2024 à 16h40
Donc c'est ... un appareil connecté.
Ce qu'il faut bien comprendre, c'est que
1) elle est rayonnante. Donc attaquable ou bien peut aussi transmettre des informations non maitrisée. Exemple: si elle a un micro et un peu de mémoire, elle peut dépiler des conversations.
2) tes données partent donc sur un serveur étranger. Privé dans ton profil, oui, et? Tu es sûr qu'il n'y a pas réplication et diffusion?
Oui c'est parano. Mais on parle du monde du renseignement, là, non?
N'importe qui qui aurait parlé il y a ne serait-ce que un mois qu'un équipement de communication textuel datant du siècle dernier pourrait se transformer en mini grenades déclenchées à distance, aurait été traité de fou paranoïaque, non?
Le 28/10/2024 à 16h42
Le 28/10/2024 à 16h45
Le 17/12/2024 à 15h27
99,9 % du temps elle n'est connectée à rien.
C'est une simple montre cardio-GPS, elle n'a pas de micro (qui ne servirait à rien).
Le 18/12/2024 à 09h01
Le 18/12/2024 à 10h50
Il faut arrêter avec vos "comment peux-tu être sûr ?", ça n'apporte rien de constructif.
Le 18/12/2024 à 12h11
Le fait est que la plupart des montres font des synchros silencieuses et quoiqu'il arrive on ne peut pas maitriser ce qui est capté. C'est pourquoi dans certains environnements ces IOT sont purement et simplement interdits.
Mais toi, tu es meilleur que tout le monde, donc, je ne vais surtout pas aller plus loin dans l'explication et justifications de ce genre d'interdictions.
Le 18/12/2024 à 12h54
Qu'il y ait des environnements hautement confidentiels où l'on joue le principe de précaution ne prouve rien. Mais comme là aussi, tu ne donnes aucune information sur ces environnements qui soutienne ton affirmation, ton dernier commentaire n'est pas plus constructif que le précédent.
Si tu as des infos sur le sujet, soit tu les donnes et c'est intéressant, soit tu les gardes pour toi et on n'en tient pas compte dans la discussion.
Le 19/12/2024 à 11h04
Juste à peu près n'importe qui qui a une montre connectée et s’intéressant à son fonctionnement s'en rend compte. Tu veux un exemple: Bah Fitbit fonctionne comme ça.
Et tu te prends pour qui pour décider de qui doit parler et qui doit se taire? Ca fait des années que tu es clairement un de ceux qui fait que je n'ai aucune envie de m'étendre sur aucun sujet ici, même si j'ai des trucs à dire et une discussion à construire. Tu es ce qu'il y a de pire sur les commentaires de Nxi, heureusement qu'il y a des gens bien plus intéressants à lire ici.
Bref, tu viens de me convaincre de retourner à ce que je faisais avant: te bannir et me taire ici. C'est pourtant un sujet que je maitrise un peu, pour différentes raisons professionnelles.
Le 01/07/2022 à 18h20
J’espère que tu es au courant que la plupart des smartphones tournent sur android, et que par défaut, le compte google qui servira à gérer tes applications pourra interagir avec google maps (lui aussi très souvent installé par défaut) et que par conséquent, l’historique GPS sera sur les serveurs de google… ce qui n’est déjà PAS compatible avec “AUCUNE donnée de localisation” comme évoqué dans le fameux livret qu’ils sont sensés suivre. Pourtant, si tu veux utiliser google maps, tu peux aussi virer l’application, et t’en servir via ton navigateur. Et là, plus de tracking continu.
Ta montre connectée qui discute avec une App, qui partage ensuite ses données avec un serveur, théoriquement, c’est non autorisé : que les données GPS viennent de ta montre ou ton smartphone, c’est pareil, ce n’est pas sensé sortir du terminal. Ceci étant, les applications qui respectent le RGPD permettent généralement de ne rien faire remonter (mais il faut chercher les bons réglages)
On ne peut pas interdire le mobile…. quoique ? sur une scène de combat, la priorité, c’est la sécurité des acteurs. Un simple téléphone et une montre toute bête, ca permet aussi de savoir à quelle vitesse on a courru et si on progresse et passer un coup de fil.
Le 01/07/2022 à 20h12
On peut rendre privé les enregistrements sur Strava, Nike Run Club, Adidas (ex runtastic)… par contre le truc très stupide, c’est que c’est activé par défaut et t’encourage à publier “en live” ta course sur leur site & notifié ça sur Facebook & co, où les gens n’ont probablement pas mis leur profil en privé.
Donc, on sait en live où une personne est avec tous les risques que ça peut engendrer.
J’avais runtastic, je l’ai viré pour passer à l’appli “Exercices” native de l’Apple Watch, qui ne partage pas les événéments. Appli couplée à “HealthFit” (payante) qui permet de faire des exports GPX et d’avoir plein de stats diverses et variées.
Le 02/07/2022 à 00h56
Je ne sais pas quel est le réglage par défaut, mais ça se bloque ; et surtout ça n’est pas disponible publiquement.
Ben déjà il faut se créer un compte pour que les données partent vers un serveur.
Mais là il n’est pas question de scènes de combat, mais de simple bases/zones militaires.
(par ailleurs, je ne sais pas comment nos forces militaires engagées, par exemple au Mali, gèrent leur mobile - je suppose qu’ils le laissent à la base en partant en patrouille, mais pas sûr car ça peut servir)
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?