Utiliser une montre connectée pour suivre ses performances physiques n'est parfois pas sans conséquence sur sa vie privée. Sur Polar Explorer, il était encore récemment possible de remonter jusqu'à l'adresse personnelle de personnes s'entrainant dans des lieux réputés sensibles. Une faille est aussi évoquée, mais Polar réfute.
Au début de l'année, Strava était sous le feu des projecteurs à cause de son service « Global Heatmap ». En suivant les déplacements des utilisateurs, il était possible d'obtenir l'emplacement précis de bases militaires et des rondes des soldats un peu partout à travers le monde, parfois sur des sites très sensibles.
Les trackers d'activités « traquent » bien plus
Ce coup de semonce sur les montres et objets connectés analysant le moindre de vos pas n'était visiblement pas suffisant pour une prise de conscience globale. La situation se répète en effet chez Polar, concurrent de Strava, mais dans des proportions plus importantes, comme l'explique De Correspondent (site d'informations néerlandais), en collaboration avec le collectif de journaliste citoyens Bell¿ngcat.
En plus des trajets et des emplacements de certaines installations sensibles, nos confrères ont été en mesure d'obtenir le nom, l'adresse et des renseignements familiaux sur des personnes s'y entrainant, parfois même lorsque le profil était privé.
Des informations sur près de 6 500 personnes sur 200 sites sensibles
Au total, des informations sur plus de 200 sites ont été identifiés : 125 bases militaires, 48 installations de stockage d'armes nucléaires, 18 agences de renseignements – tous les sigles y passent, de la NSA au MI6 en passant par le GCHQ, la DGSE et le Secret Service, etc. – 4 ambassades et même la Maison Blanche.
« Nous avons trouvé cette information non pas par piratage informatique ou d'autres moyens technologiques, mais par une recherche astucieuse sur la carte en ligne que Polar met à la disposition de tous ceux qui disposent d'un compte » expliquent nos confrères.
Une fois la carte centrée sur un lieu (sensible ou non) de votre choix, il suffit de cliquer sur un des résultats d'entrainement à proximité pour afficher le profil de la personne. Un zoom arrière (jusqu'au niveau du pays, voir du monde) permet de voir ses différents déplacements. Lorsque vous identifiez un groupement de plusieurs entrainements au même endroit, il suffit de zoomer dessus pour essayer de détecter des schémas récurrents et ainsi trouver son adresse personnelle.
Une faille sur les profils privés, un manque de limite sur l'API
De Correspondent a été en mesure d'identifier 6 460 personnes. Dans 90 % des cas, un nom et la ville étaient renseignés dans le profil, facilitant d'autant plus leur identification.
Certains ont eu la bonne idée de se protéger derrière un profil privé, mais un « oubli » dans l'application Polar a quand même permis d'obtenir ces informations dans certains cas. Toujours dans le cas d'une session privée, il est possible de rattacher l'entrainement à un identifiant d'utilisateur et ainsi connaitre ses habitudes. Des personnes mal intentionnées pourraient là encore s'en servir.
En outre, Polar n'impose pas de limite sur le nombre d'informations que l'on peut extraire : « Par exemple, nous avons pu récupérer automatiquement toutes les activités dans le monde entier pour ces 6 460 utilisateurs, ce qui a facilité la détermination de l'adresse de leur domicile, où les séances d'entrainement commencent et se terminent souvent » détaillent encore nos confrères.
Les autorités néerlandaises ont été informées de ce problème il y a deux semaines par De Correspondent. Elles ont ensuite fait passer le message au ministre des Affaires étrangères et aux différentes agences de renseignements.
Des risques potentiellement importants
Les enjeux sont importants. En identifiant une personne s'entrainant sur des bases militaires, il est possible de suivre ses autres entrainements et potentiellement de trouver la position exacte de sa maison, donc de sa famille. Et même dans le cas d'un bâtiment, l'altitude renvoyée par la montre permet parfois de connaitre l'étage de l'immeuble.
On imagine assez facilement les dégâts que pourraient faire de telles informations entre les mains de personnes mal intentionnées. Elles pourraient se rendre au domicile de militaires en déplacement, d'employés d'agences de sécurité, de hauts responsables politiques, etc. Il en est de même pour des voleurs ciblant des particuliers en déplacement ou simplement en train de courir pour un entrainement.
Polar désactive Explorer pour le moment
Peu avant la publication par De Correspondent Bell¿ngcat, Polar avait pris les devants. Dans un court billet, la société affirmait avoir « appris que les données de localisation partagées publiquement par ses utilisateurs via la fonction Explorer de Flow pouvaient fournir des informations sur des emplacements potentiellement sensibles ».
L'entreprise ajoute qu'il « est important de comprendre que Polar n'a divulgué aucune donnée et qu'il n'y a pas eu de violation de données privées. Actuellement, la grande majorité des clients Polar gardent leurs profils et sessions privés, et ne sont pas touchés de quelque manière que ce soit ». Ce qui contredit les affirmations de nos confrères, notamment sur les profils privés.
« Bien que la décision d'accepter et de partager les sessions d'entrainement et les données de localisation GPS soit le choix et la responsabilité de l'utilisateur, nous sommes conscients que des emplacements potentiellement sensibles apparaissent dans les données publiques et avons décidé de suspendre temporairement l'API Explore » ajoute Polar. La société travaille donc sur de « meilleures options » pour informer les utilisateurs des risques et prendre des mesures pour éviter de partager publiquement des données sur des lieux sensibles.
Sur la carte Explorer, le message est bien plus pragmatique : « Les sessions d'entrainement sont temporairement indisponibles dans cette vue en raison d'une maintenance technique ».
Les nombreux griefs à Polar
Bell¿ngcat rappelle que trouver ce genre d'informations n'est malheureusement pas nouveau (Strava étant déjà passée par là), mais Polar simplifie grandement la tâche en permettant de récupérer toutes les données d'une personne d'un seul coup, sans aucune limite.
Plusieurs autres griefs sont faits au service : changer la confidentialité des sessions n'affecte que les nouvelles et pas les anciennes, Polar ne permet pas d'empêcher automatiquement la publication de votre domicile et de lieu de travail contrairement à d'autres, il n'est pas possible d'effacer d'un coup toutes ses activités, etc.
Signalons tout de même un bon point : actuellement, après la création d'un compte, la confidentialité de votre profil, de vos séances et votre résumé d'activité sont privés par défaut.
Commentaires (14)
#1
Je ne connais pas Polar, mais Strava permet de paramétrer une ‘zone de confidentialité’ autour de chez soi : les débuts et fins de course situé dans un cercle de n mètres de rayon sont tronqués, et ne risquent pas d’être diffusés (le cercle n’étant évidemment pas centré sur le domicile)
Ça n’empêche évidemment pas de se faire une idée de domicile de quelqu’un, puisque personne ne va mettre un cercle trop grand, sous peine de systématiquement tronquer la moitié de sa sortie.
De toute façon, à partir du moment où une personne veut partager ses footings avec le monde, il n’y a pas grand chose à faire techniquement. Même si on arrivait à sécuriser son domicile, on pourrait très facilement l’attendre à un point où il passe couramment, et le suivre.
Je serais le chef d’une base sensible dont les occupants sont supposés être secrets, je travaillerais dans une direction différente en passant pour commencer un savon à ceux qui publient sur internet des footings dans ou a proximité de ma base.
#2
#3
Les applications de Polar (Flow pour la synchronisation des données et Explore pour les partager avec d’autres utilisateurs) permettent de mettre à disposition ses entrainements.
La première chose qui est indiqué lorsqu’on bascule son profil en public, c’est bien que tous le monde aura accès aux données, et à toutes les données. Il n’y a pas de secret. De plus il y a 3 profils différents (privé/abonné/public). Si les personnes souhaitent tout partager, c’est leur soucis, pas celui de Polar (ou de strava comme évoqué). Ce n’est pas Polar qui est bavard, mais bien les utilisateurs…
#4
Autant monsieur tout-le-monde, on peut comprendre, mais pour ces profils, il doit y avoir un manque de sensibilisation (donc je tempère ce que je disais, en tant que chef de base, je tire aussi mes propres oreilles pour avoir négligé la sensibilisation de mes équipes, et je corrige ça illico)
#5
On est en droit de penser que quelqu’un qui a accès à un site sensible est averti (au sens où il fait attention).
seulement ce n’est pas le cas. et surtout c’est encore moins le cas quand cette personne utilise le même matériel pour sa vie privée et sa vie professionnelle.
le souci c’est que les employeurs (publics ou privés) sont eux-mêmes à la ramasse en terme de sécurité opérationnelle, car ils sont dépassés par les changements technologiques. la plupart du temps ce sont des gens qui ont été formés à sécuriser des accès physiques, pas des accès logiques.
en terme de sécu informatique de base dans les organisations, la prise de conscience se fait peu à peu (formations, même basiques) mais c’est encore largement lacunaire.
Quant à une sécurisation totale, c’est devenu une utopie (à part peut-être dans les secteurs les plus sensibles); il est très difficile, avec le BYOD, de sécuriser les personnes et les terminaux personnels qu’elles portent au taf.
A moins d’interdire les terminaux personnels (et de faire les contrôles pour appliquer cette interdiction), je ne vois pas comment on peut éviter totalement les conséquences.
En tout cas ça montre que l’OSINT a de beaux jours devant elle. ^^
#6
#7
#8
Si un militaire a besoin d’une sensibilisation particulière pour comprendre qu’il ne doit pas diffuser d’informations personnelles sur lui et sur sa base on est quand même sacrement mal barré….. (rarement été aussi prêt de “militaire == petite unité d’intelligence”
#9
Je pense que les subtilités et conséquences de l’utilisation des services en lignes échappent à la majorité des non-passionnés par le sujet. S’ils continuent après avoir été sensibilisés, là on pourra parler de bêtise et/ou de négligence.
D’ailleurs, je suis absolument convaincu qu’on fait tous des conneries de temps à autres, y compris nous autres donneurs de leçons. Mais pour la majorité d’entre nous, ça n’a pas de conséquences.
#10
#11
oui.
et tout ça c’est de la metadata en gros: le bordel c’est juste des traces GPS.
c’est du pipi de chat à côté des infos que détient Google par exemple (sauf que c’est pas publique).
#12
J’ai le souvenir d’avoir bossé dans un environnement auto déclaré très sensible et nous étions fouillés à l’entrée tous les matin : pas de téléphone portable, pas d’électronique perso (ni baladeur ni casque bluetooth ni évidemment ordinateur portable, ni même clefs USB).
Tout était laissé dans des coffres de type consigne dont j’ai appris après qu’ils étaient aussi résistant aux ondes pour éviter les repérages des objets de manière passive.
A l’époque on ne parlait pas de montres connectées ou de trackers d’activité, mais je pense qu’aujourd’hui, cela ne permettrait que de visualiser le point d’entrée, ce qui est déjà beaucoup trop pour ce type d’endroit.
Alors quelle est la solution ?
Faire signer à ceux amenés à travailler là un document stipulant qu’ils ne doivent jamais se servir de rien qui puisse les tracer, laisser à la maison les joujoux électroniques, prendre un masque et un costume en quittant leur domicile et être vierges sur le trajet en plus de ne pas utiliser tout ça au boulot…
Avec les super voitures connectées plus que tout, il ne faudrait pas qu’ils utilisent leur véhicule perso…
N’est-il pas un peu tard pour penser à tout ça ?