Utiliser une montre connectée pour suivre ses performances physiques n'est parfois pas sans conséquence sur sa vie privée. Sur Polar Explorer, il était encore récemment possible de remonter jusqu'à l'adresse personnelle de personnes s'entrainant dans des lieux réputés sensibles. Une faille est aussi évoquée, mais Polar réfute.
Au début de l'année, Strava était sous le feu des projecteurs à cause de son service « Global Heatmap ». En suivant les déplacements des utilisateurs, il était possible d'obtenir l'emplacement précis de bases militaires et des rondes des soldats un peu partout à travers le monde, parfois sur des sites très sensibles.
Les trackers d'activités « traquent » bien plus
Ce coup de semonce sur les montres et objets connectés analysant le moindre de vos pas n'était visiblement pas suffisant pour une prise de conscience globale. La situation se répète en effet chez Polar, concurrent de Strava, mais dans des proportions plus importantes, comme l'explique De Correspondent (site d'informations néerlandais), en collaboration avec le collectif de journaliste citoyens Bell¿ngcat.
En plus des trajets et des emplacements de certaines installations sensibles, nos confrères ont été en mesure d'obtenir le nom, l'adresse et des renseignements familiaux sur des personnes s'y entrainant, parfois même lorsque le profil était privé.
Des informations sur près de 6 500 personnes sur 200 sites sensibles
Au total, des informations sur plus de 200 sites ont été identifiés : 125 bases militaires, 48 installations de stockage d'armes nucléaires, 18 agences de renseignements – tous les sigles y passent, de la NSA au MI6 en passant par le GCHQ, la DGSE et le Secret Service, etc. – 4 ambassades et même la Maison Blanche.
« Nous avons trouvé cette information non pas par piratage informatique ou d'autres moyens technologiques, mais par une recherche astucieuse sur la carte en ligne que Polar met à la disposition de tous ceux qui disposent d'un compte » expliquent nos confrères.
Une fois la carte centrée sur un lieu (sensible ou non) de votre choix, il suffit de cliquer sur un des résultats d'entrainement à proximité pour afficher le profil de la personne. Un zoom arrière (jusqu'au niveau du pays, voir du monde) permet de voir ses différents déplacements. Lorsque vous identifiez un groupement de plusieurs entrainements au même endroit, il suffit de zoomer dessus pour essayer de détecter des schémas récurrents et ainsi trouver son adresse personnelle.
Une faille sur les profils privés, un manque de limite sur l'API
De Correspondent a été en mesure d'identifier 6 460 personnes. Dans 90 % des cas, un nom et la ville étaient renseignés dans le profil, facilitant d'autant plus leur identification.
Certains ont eu la bonne idée de se protéger derrière un profil privé, mais un « oubli » dans l'application Polar a quand même permis d'obtenir ces informations dans certains cas. Toujours dans le cas d'une session privée, il est possible de rattacher l'entrainement à un identifiant d'utilisateur et ainsi connaitre ses habitudes. Des personnes mal intentionnées pourraient là encore s'en servir.
En outre, Polar n'impose pas de limite sur le nombre d'informations que l'on peut extraire : « Par exemple, nous avons pu récupérer automatiquement toutes les activités dans le monde entier pour ces 6 460 utilisateurs, ce qui a facilité la détermination de l'adresse de leur domicile, où les séances d'entrainement commencent et se terminent souvent » détaillent encore nos confrères.
Les autorités néerlandaises ont été informées de ce problème il y a deux semaines par De Correspondent. Elles ont ensuite fait passer le message au ministre des Affaires étrangères et aux différentes agences de renseignements.
Des risques potentiellement importants
Les enjeux sont importants. En identifiant une personne s'entrainant sur des bases militaires, il est possible de suivre ses autres entrainements et potentiellement de trouver la position exacte de sa maison, donc de sa famille. Et même dans le cas d'un bâtiment, l'altitude renvoyée par la montre permet parfois de connaitre l'étage de l'immeuble.
On imagine assez facilement les dégâts que pourraient faire de telles informations entre les mains de personnes mal intentionnées. Elles pourraient se rendre au domicile de militaires en déplacement, d'employés d'agences de sécurité, de hauts responsables politiques, etc. Il en est de même pour des voleurs ciblant des particuliers en déplacement ou simplement en train de courir pour un entrainement.
Polar désactive Explorer pour le moment
Peu avant la publication par De Correspondent Bell¿ngcat, Polar avait pris les devants. Dans un court billet, la société affirmait avoir « appris que les données de localisation partagées publiquement par ses utilisateurs via la fonction Explorer de Flow pouvaient fournir des informations sur des emplacements potentiellement sensibles ».
L'entreprise ajoute qu'il « est important de comprendre que Polar n'a divulgué aucune donnée et qu'il n'y a pas eu de violation de données privées. Actuellement, la grande majorité des clients Polar gardent leurs profils et sessions privés, et ne sont pas touchés de quelque manière que ce soit ». Ce qui contredit les affirmations de nos confrères, notamment sur les profils privés.
« Bien que la décision d'accepter et de partager les sessions d'entrainement et les données de localisation GPS soit le choix et la responsabilité de l'utilisateur, nous sommes conscients que des emplacements potentiellement sensibles apparaissent dans les données publiques et avons décidé de suspendre temporairement l'API Explore » ajoute Polar. La société travaille donc sur de « meilleures options » pour informer les utilisateurs des risques et prendre des mesures pour éviter de partager publiquement des données sur des lieux sensibles.
Sur la carte Explorer, le message est bien plus pragmatique : « Les sessions d'entrainement sont temporairement indisponibles dans cette vue en raison d'une maintenance technique ».
Les nombreux griefs à Polar
Bell¿ngcat rappelle que trouver ce genre d'informations n'est malheureusement pas nouveau (Strava étant déjà passée par là), mais Polar simplifie grandement la tâche en permettant de récupérer toutes les données d'une personne d'un seul coup, sans aucune limite.
Plusieurs autres griefs sont faits au service : changer la confidentialité des sessions n'affecte que les nouvelles et pas les anciennes, Polar ne permet pas d'empêcher automatiquement la publication de votre domicile et de lieu de travail contrairement à d'autres, il n'est pas possible d'effacer d'un coup toutes ses activités, etc.
Signalons tout de même un bon point : actuellement, après la création d'un compte, la confidentialité de votre profil, de vos séances et votre résumé d'activité sont privés par défaut.
