Cartographie Sport : des milliers d'agents du renseignement identifiés à cause d'une appli de fitness

Publié le 12 Juillet 2018

En croisant les données publiques de l'application de fitness Polar Flow, une équipe de journalistes a pu identifier et localiser certains utilisateurs, notamment des personnes travaillant dans des activités sensibles.

Certains militaires et agents secrets livrent sans le vouloir des informations compromettantes... en faisant leur jogging. En croisant les données publiques d'une application de fitness, des journalistes néerlandais ont réussi à obtenir les identités d'employés gouvernementaux travaillant dans des installations sensibles. Le collectif de journalisme citoyen Bellingcat et le site d'information De Correspondent se sont servis de données géographiques récoltées par la plateforme Polar Flow lors des footings de ses utilisateurs. Ils ont ainsi pu identifier 6.460 individus officiant dans des lieux tels que des installations nucléaires françaises, des bases militaires en zone de guerre, ou des services secrets comme la DGSE française ou la NSA américaine.

L'application, reliée à un bracelet connecté, permet de tenir compte de ses propres parcours en course à pied ou en vélo. De telles informations peuvent être partagées publiquement par l'utilisateur s'il le souhaite, grâce à une carte interactive fournie par Polar. Or, une fois analysées, celles-ci peuvent révéler des détails sur la vie privée de la personne. Si les parcours de course de quelqu'un partent et reviennent tous vers le même point, il est possible de déduire que c'est là qu'il habite. Il a peut-être aussi indiqué son vrai nom dans son compte. Ses déplacements autour du globe peuvent être tracés s'il fait de l'exercice en étant à l'étranger.

Un problème récurrent des applications de fitness

De Correspondent a scruté sur la carte de Polar des sites connus d'installations militaires ou gouvernementales. Le média a aisément retrouvé la trace de soldats stationnés à Erbil au Kurdistan irakien, avec leurs noms et leurs adresses. Mais les utilisateurs ayant marqué leurs comptes comme publics ne sont pas les seuls concernés: la carte affiche aussi certains comptes privés ayant fait le choix de partager anonymement leurs sessions d'entraînement. Ces comptes sont associés à des identifiants uniques. En modifiant simplement une adresse web dans son navigateur, on peut obtenir tous les footings réalisés par le même individu. Une fois son domicile localisé, il suffit de le croiser avec un fichier public des propriétés immobilières pour retrouver son nom. Si la personne habite dans un immeuble, les capteurs d'altitude du bracelet connecté peuvent indiquer l'étage où elle réside.

Après la parution de l'enquête, Polar a retiré sa carte interactive et publié un bref communiqué, affirmant qu'il n'y a pas eu de fuite anormale ou de piratage de données privées. «La grande majorité des clients de Polar gardent des profils privés par défaut [...] et ne sont affectés d'aucune manière par l'affaire».

Ce n'est pas la première fois qu'une application de fitness publie des données potentiellement sensibles. En novembre 2017, Strava avait été pointée du doigt après avoir affiché une carte mondiale des sessions de sport de ses utilisateurs. La position d'installations secrètes américaines avait ainsi été révélée. Même si Strava a annoncé en janvier avoir renforcé sa sécurité, les journalistes de De Correspondents ont tout de même parvenus à y identifier des employés à postes sensibles. Le site néerlandais relève des failles similaires, quoique moins importantes, dans les applications concurrentes Endomondo et Runkeeper.

source : 

http://www.lefigaro.fr/secteur/high-tech/2018/07/09/32001-20180709ARTFIG00286-des-milliers-d-agents-du-renseignement-identifies-a-cause-d-une-appli-de-fitness.php

Repost0
Commenter cet article