Décidément, en matière de cybersécurité, le maillon faible reste bien souvent l’interface entre le clavier et l’écran, ou plutôt entre les baskets et le T-shirt…. Lors d’une enquête récente, le quotidien Le Monde est parvenu à localiser presque en temps réel le porte-avions Charles-de-Gaulle au milieu de la Méditerranée. Comment ? Grâce à un marin qui utilisait l’application sportive Strava pour collecter les données de ses footings sur le pont du navire.

Le déplacement du groupe aéronaval vers l’Iran n’est pas secret, mais sa géolocalisation précise en temps réel pose en revanche de vrais problèmes de sécurité. Alors, comment ces données ont-elles pu être accessibles aux journalistes du Monde ? Tout simplement parce que Strava est une application très populaire, compatible avec pratiquement toutes les montres connectées et que les données des utilisateurs sont accessibles publiquement par défaut à tout un chacun.

De trop nombreux cas

Le problème, c’est que ce n’est pas la première fois qu’une telle faille de sécurité est mise en avant à cause de Strava.

Lire l’article

L’an dernier déjà, des marins de l’équipage d’un sous-marin nucléaire lanceur d’engins, autrement dit les submersibles qui assurent en permanence la dissuasion nucléaire française, ont également été identifiés en raison de leurs routines de footing. Leur absence sur l’application permettait clairement d’en savoir plus sur le calendrier des opérations des sous-marins. 

Certes, on ne pouvait pas localiser le sous-marin et ses départs et retours ne sont pas particulièrement discrets. En revanche, il ne fallait pas chercher bien loin pour retrouver l’identité, voire le domicile de certains membres de l’équipage utilisant Strava.

Depuis ces affaires, l’armée assure que des consignes strictes sur le sujet sont régulièrement diffusées. Reste que selon l’un des enquêteurs interrogés par Futura, avec le nombre important de marins embarqués sur le porte-avions, il est difficile de tout contrôler.

Touché-coulé à cause d’une montre et d’un footing ? Si des journalistes ont pu géolocaliser pratiquement en temps réel le porte-avions français à cause de la négligence d’un seul marin, les services étatiques iraniens auraient très bien pu le faire. © Le Monde

Problème de sécurité pour les militaires

En identifiant le nom d’un militaire, un agent issu d’un service d’un État hostile pourrait très bien l’approcher et parvenir à le manipuler pour s’en servir.

Dans une autre enquête du journal Le Monde datée de 2024, les données de Strava ont permis de savoir où se trouvaient précisément les présidents français, américain et russe. Grâce à la géolocalisation de leurs pratiques sportives, les enquêteurs sont parvenus à identifier les gardes du corps de ces présidents.

Ces exemples, révélés par Le Monde à partir d’investigations menées sur des sources ouvertes (Osint), ne sont malheureusement ni les seuls ni une nouveauté. L’application Strava s’est retrouvée au cœur de nombreuses autres fuites de données sensibles depuis 2018.

La première affaire avait été révélée par les enquêteurs du collectif Bellingcat. Ils étaient parvenus à dévoiler les contours exacts de bases américaines secrètes et dans les zones désertiques en Afghanistan, en Irak ou en Syrie. Les parcours répétés des séances de jogging des militaires dessinaient précisément l’emprise de sites pourtant confidentiels.

Le problème, c’est qu’en croisant les données publiques, il est possible d’identifier des itinéraires individuels. Dans certains cas, cela permet de localiser des entrées de bases, des zones de vie ou des itinéraires logistiques. Là encore, avec un peu plus de temps, les enquêteurs peuvent parvenir à remonter certains profils et à déduire les habitudes de militaires ou d’agents.

Lire l’article

C’est d’ailleurs de cette façon qu’en juillet 2023, les services de renseignement ukrainiens ont pu éliminer, près de son domicile en Russie, un officier supérieur russe considéré comme criminel de guerre.

Manque de discipline individuelle

Et pourtant, face à ces révélations, dès 2018, Strava avait déjà renforcé ses paramètres de sécurité. L’application a introduit des zones de confidentialité personnalisables et des options de partage plus restrictives. Mais encore faut-il activer ces options, ce qui ne semble toujours pas être un réflexe pour les militaires.

Cette nouvelle affaire de Strava Leaks, montre encore une fois qu’avec ces objets connectés populaires qui génèrent des données, le manque de discipline individuelle devient un maillon critique de la sécurité opérationnelle. Ces informations anodines en apparence peuvent, une fois agrégées, devenir stratégiques. Une course à pied peut suffire à trahir une position sensible, ou encore à manipuler un militaire.