Des centaines d’agents de services de renseignement étaient « à poil » sur Strava, depuis 4 ans

Des centaines d’agents de services de renseignement étaient « à poil » sur Strava, depuis 4 ans

GPSpions heatmapped

Avatar de l'auteur
Jean-Marc Manach

Publié dans

Société numérique

01/07/2022 13 minutes
18

Des centaines d’agents de services de renseignement étaient « à poil » sur Strava, depuis 4 ans

Le réseau social de sportifs Strava vient de fermer le compte de certains de ses utilisateurs. Il les accuse d'avoir simulé de fausses courses afin d'identifier des agents du renseignement israélien s'étant géolocalisés à proximité de bases militaires.

À titre d'exception, cet article est rédigé à la première personne pour rendre compte d'une situation particulière. La semaine passée, j'ai en effet reçu un e-mail de Strava. Le réseau social des sportifs, qui a dépassé les 100 millions d'utilisateurs enregistrés en mai dernier, m'informait : « Votre compte a été signalé comme suspect et nous vous écrivons pour vous informer qu'après enquête, nous désactiverons votre accès ».

« L'application nº 1 pour les coureurs et les cyclistes », qu'ils utilisent pour partager la géolocalisation de leurs courses avec leurs amis (voire avec n'importe quel autre utilisateur de Strava), précise en effet que « le téléchargement d'activités manipulées est interdit et nos normes communautaires sont claires » : 

« Nous examinons souvent les informations de compte et les activités sur Strava pour déterminer quand quelqu'un peut essayer de déformer ses réalisations et ses records sportifs. À la suite de ces violations, votre compte sera définitivement suspendu. »

J'avais, effectivement, envoyé sur Strava les coordonnées géolocalisées et horodatées de quelques dizaines de courses que je n'avais pas effectuées moi-même, mais que j'avais générées via des sites web permettant de simuler ce que Strava qualifie de « segments », à savoir le temps pour passer d'un point A à un point B.

« Nous promouvons le fair-play, en ligne et dans la vraie vie », explique le réseau social. « Si vous trichez, vos activités n’ont pas de place sur Strava », notamment en cas de « données GPS manipulées » :

« Si vous utilisez un site Web tiers pour manipuler vos données GPS, en particulier si c'est pour améliorer vos temps de segment, vous ne pouvez pas télécharger ces données sur Strava. Cela inclut le téléchargement de fichiers d'itinéraire sur votre compte Strava. Le non-respect de cette directive peut entraîner la suppression du compte. »

Mon compte Strava a donc été supprimé. Pour autant, je n'avais pas utilisé ces coordonnées GPS pour « tricher » ni faire croire que je courrais plus vite que d'autres, mais pour tenter de vérifier si l'on pouvait y identifier des agents de services de renseignement étrangers, comme j'avais déjà pu le faire en 2018 avec des agents de la DGSE et de la DGSI.

Quand je vois une jolie carte, je vais généralement en Syrie

Début 2018, Nathan Ruser, un étudiant australien de 20 ans qui, comme l'expliqua le Sidney Morning Herald, espérait alors pouvoir travailler dans la communauté du renseignement, découvrait la « heatmap » de Strava. 

Lancée en novembre 2017, le réseau social l'avait alors présentée comme « le plus grand, le plus riche et le plus beau jeu de données de ce type » : 

« Il s'agit d'une visualisation de deux années de données de suivi du réseau mondial d'athlètes de Strava. Pour donner une idée de l'échelle, la nouvelle heatmap se compose de :

    • 700 millions d'activités
    • 1,4 trillion de points de latitude/longitude
    • 7,7 trillions de pixels pixellisés
    • 5 téraoctets de données d'entrée brutes
    • Une distance totale de 16 milliards de km (10 milliards de miles)
    • Une durée d'activité totale enregistrée de 100 000 ans. »

Strava précisait que « plus important encore, la heatmap ne contient que des activités publiques et respecte tous les paramètres de confidentialité » et que « des filtres supplémentaires suppriment les données erronées » : 

« Nous excluons également toutes les activités "virtuelles", telles que les trajets Zwift, car ces activités contiennent de fausses données GPS. »

Or, comme Ruser l'expliqua au Sidney Morning Herald : « Dès que je vois une jolie carte, je vais généralement voir à quoi y ressemble la Syrie ; or, à la seconde où vous la regardez, les bases militaires s'illuminent ».

Strava Syrie

Heatmap Strava d'une potentielle base américaine au nord d'Hassaké, siège de trois batailles entre Kurdes, l'EI et l'armée syrienne

Qui aurait pu penser qu'un Fitbit détruirait l'OPSEC de militaires ?

Le samedi 27 janvier, il consacrait un thread, sur Twitter, à la « heatmap » de Strava, qui permettait d'identifier des bases militaires américaines, turques, russes, et même des bases opérationnelles avancées, et donc sécurisées et fortifiées, parce que situées en avant poste, en Afghanistan : 

« Si les soldats utilisent l'application comme le font les gens normaux, en l'activant lorsqu'ils vont faire de l'exercice, cela pourrait être particulièrement dangereux. Je ne devrais pas être capable d'identifier ce type d'informations à de telles distances », expliquait Ruser.

Ce fil, devenu viral, entraîna d'autres utilisateurs de Twitter à identifier de nombreuses courses effectuées sur des bases militaires, parfois floutées, dans le monde entier.

L'un d'entre eux, Paul D, remarqua qu'une fois connecté à Strava, il était en outre possible d'identifier certains segments sur ces courses géolocalisées, et d'y associer les comptes de ceux qui y étaient passés. Il expliqua ainsi avoir identifié un soldat qui s'était d'abord géolocalisé sur une base militaire en Irak, puis à son domicile, en France.

« Qui aurait pu penser que la sécurité opérationnelle (OPSEC) [de militaires, ndlr] pouvait être détruite par un Fitbit ? », s'étonna Nathan Ruser auprès du New York Times, expliquant vouloir aider les gouvernements à « remédier à leurs vulnérabilités ».

Il est possible de désanonymiser les données de Strava

L'info fut reprise dans le monde entier, Wired expliquant par exemple qu' « il est possible de désanonymiser les données de Strava et de montrer exactement qui faisait de l'exercice entre les murs de certaines des installations les plus secrètes du monde » : 

« En cherchant des données pour un lieu géographique spécifique – une installation d'armement nucléaire, par exemple – il est possible de voir les noms, les vitesses de course, les itinéraires de course et les fréquences cardiaques de tous ceux qui ont partagé leurs données de fitness dans cette zone. »

 

Dans la foulée, le site d'enquêteurs OSINT Bellingcat publiait un mode d'emploi, soulignant notamment que « l'activité GPS peut facilement être usurpée et les utilisateurs peuvent intentionnellement falsifier les données à leur guise ».

Steve Loughran, un développeur britannique, publiait quant à lui un petit manuel de « désanonymisation avancée via Strava ». La procédure est simple à comprendre, bien qu'un peu plus compliquée à mettre en œuvre :  

« Tout d'abord, trouvez un endroit sensible, comme la base sous-marine nucléaire de Faslane au Royaume-Uni. Observez les zones chaudes [sur la heatmap de Strava, ndlr]. Maintenant, allez sur MapMyRide et connectez-vous pour créer un nouvel itinéraire à l'aide des données satellites. Téléchargez le fichier GPX [qui] contient les valeurs Lat/Long de l'itinéraire. »

Il précisait ensuite les petites manipulations à faire dans le fichier pour y rajouter des données horodatées, de sorte qu'il soit importable dans Strava : « Il n'est pas nécessaire que l'heure soit valide, il suffit de la ralentir suffisamment pour que Strava ne pense pas que vous conduisiez et vous dénonce pour avoir triché ». 

« La prochaine étape est la plus sournoise. Créez un segment et transformez une partie ou la totalité de l'itinéraire en un segment Strava. Une fois que Strava aura parcouru ses bases de données, vous pourrez voir les 10 meilleurs coureurs par sexe/groupe d'âge, quand ils ont couru, avec qui ils ont couru. Et, si leur profil n'est pas suffisamment verrouillé : sur quelles autres bases militaires ils se sont rendus. »

Il suffit de regarder la carte du GCHQ ou de la zone 51

Dans une mise à jour, publiée le 29 janvier, Loughran expliquait avoir supprimé son segment : 

« Les noms de certaines personnes y apparaissaient, ce qui montre que, oui, il est possible, à partir d'une carte thermique, d'identifier les personnes qui ont emprunté le même itinéraire. Il n'est pas nécessaire de blâmer ces personnes ici, j'ai donc retiré le segment pour préserver leur anonymat. »

« Je ne sais pas ce que Strava fera à long terme, mais pour que cela ne se reproduise plus, il faudra qu'ils aient un moyen de marquer une zone comme "zone privée pour tous les utilisateurs" », précisait-il : 

« C'est faisable. Ensuite, il faut aller voir les différents gouvernements et leur dire "Donnez-nous une liste de sites secrets que vous ne voulez pas que nous couvrions". Ce qui, à moins que les gouvernements n'incluent des zones aléatoires comme des chaînes de montagnes au milieu du pays de Galles, constitue une liste intéressante en soi. »

Le billet de Loughran avait été explicitement mentionné dans l'article de Wired, qui évoquait également un article du Guardian qui avait découvert « les noms de plus de 50 militaires américains dans une base en Afghanistan » : 

« Vous voulez savoir comment les gens se déplacent dans les bases militaires américaines à Beyrouth ? Et au GCHQ ou dans la zone 51 ? C'est simple. Il suffit de regarder la carte. »

Sauf s'il existe des zones de confidentialité

Le problème avait donc largement été exposé, en deux jours seulement. Strava, de son côté, avait prestement réagi en renvoyant à un billet de juillet 2017 expliquant « Comment gérer votre vie privée sur Strava » : 

« Rien n’est plus important que la sécurité de notre communauté, et notre devoir est de vous fournir les outils indispensables vous permettant de filtrer ce que vous souhaitez réellement partager. »

« Nous avons mis en place une équipe spécialisée qui se réunit régulièrement pour améliorer constamment les règles de sécurité sur Strava », précisait le réseau social. Il rappelait ainsi avoir développé plusieurs fonctionnalités, dont une permettant de « créer des zones de confidentialité » : 

« Les zones de confidentialité masqueront des parties de votre activité qui débute ou finit dans une zone géographique que vous ne souhaitez pas partager. Par exemple, si vous souhaitez que personne ne sache où vous habitez, où vous travaillez, vous pouvez régler une zone de confidentialité comprise entre 200 m et 1 km autour de chez vous, ou autour de votre bureau. »

Le lundi 29 janvier, en réaction aux découvertes de Nathan Ruser, le CEO de Strava publiait un billet expliquant prendre l'affaire très au sérieux, et détaillant ce que ses équipes avaient alors entrepris : 

  • « Nous nous engageons à travailler avec les responsables militaires et gouvernementaux pour traiter les données potentiellement sensibles.
  • Nous examinons les fonctionnalités qui ont été conçues à l'origine pour la motivation et l'inspiration des athlètes afin de nous assurer qu'elles ne peuvent pas être compromises par des personnes mal intentionnées.
  • Nous continuons à mieux faire connaître nos outils de confidentialité et de sécurité.
  • Nos équipes d'ingénierie et d'expérience utilisateur simplifient nos fonctionnalités de confidentialité et de sécurité afin que vous sachiez comment contrôler vos propres données. »

Nous avons fait un rappel en interne... ou pas

Ce même 29 janvier, le porte-parole du Pentagone expliquait au Military Times que le secrétaire à la Défense avait ordonné une enquête au sujet de cette vulnérabilité : « nous examinons nos politiques à l'échelle du département pour déterminer si [elles] doivent être mises à jour » : 

« Le DoD prend des questions comme celles-ci très au sérieux et examine la situation pour déterminer si une formation ou des conseils supplémentaires sont nécessaires, et si une politique supplémentaire doit être élaborée pour assurer la sécurité continue du personnel du DoD au pays et à l'étranger. »

Le lendemain, un porte-parole du ministère français des Armées déclarait au Monde avoir « mis en garde les militaires contre les dangers en matière de sécurité » liés à l’application de jogging Strava :

« Nous avons fait un rappel en interne de la nécessité de respecter les règles élémentaires de sécurité en opération, par exemple déconnecter les objets, comme les montres, les iPhone ou encore Strava. »

Trouver des soldats français ? Trop facile...

La quasi-totalité des articles s'étant focalisé sur les soldats américains, numériquement plus nombreux à utiliser Strava, j'ai commencé à chercher des soldats français.

Or, il suffisait de survoler la heatmap de Strava dans les pays dont on sait qu'ils accueillent des bases militaires françaises pour voir que les abords de ces enclaves militaires brillaient bien plus qu'ailleurs. 

Et il suffisait ensuite de se connecter à Strava pour y identifier des segments. Puis d'y retrouver qui y avait couru et, partant, les profils de nombreux utilisateurs dont les courses, en France, révélaient qui leurs unités militaires d'affectation, qui leurs domiciles privés. La semaine, les joggers courent en effet souvent aux abords de leurs employeurs pendant leurs pauses déjeuner, tandis que le week-end et durant leurs congés ils jouent à domicile.

 

De plus, il était si facile de trouver, en quelques dizaines de minutes seulement des dizaines de militaires français (c'est toujours le cas), qu'il me fallait trouver un autre angle. J'étais en effet persuadé que d'autres journalistes se saisiraient du sujet (en fait, il fallu attendre décembre 2020 pour que Mediapart publie une sérieuse enquête à ce sujet). Je me suis donc tourné vers le boulevard Mortier, siège de la DGSE, le service de renseignement extérieur français.

Les agents du renseignement ayant interdiction de révéler publiquement leur affectation, il en allait aussi de questions de sûreté et de sécurité nationale, et donc d'une information d'intérêt général, susceptible de contribuer au débat public. 

Encore fallait-il en trouver, ce qui fera l'objet de la seconde partie de cette petite tragi-comédie : 

18

Écrit par Jean-Marc Manach

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Quand je vois une jolie carte, je vais généralement en Syrie

Qui aurait pu penser qu'un Fitbit détruirait l'OPSEC de militaires ?

Il est possible de désanonymiser les données de Strava

Il suffit de regarder la carte du GCHQ ou de la zone 51

Sauf s'il existe des zones de confidentialité

Nous avons fait un rappel en interne... ou pas

Trouver des soldats français ? Trop facile...

Commentaires (18)


Franchement ce délire d’utiliser une application pour tout et de se faire mousser sur le net…



Les mecs se rendent même pas compte qu’ils s’exposent eux et leur famille tellement bêtement.


Ce n’est pas nouveau comme problème. J’en avais déjà entendu parlé il y a quelques années. Mais c’est étonnant qu’ils n’aient pas résolus le problème entre temps.



Nerg34 a dit:


Franchement ce délire d’utiliser une application pour tout et de se faire mousser sur le net…



Les mecs se rendent même pas compte qu’ils s’exposent eux et leur famille tellement bêtement.




Je ne comprends même pas que des agents de renseignements utilisent ce genres d’applications pendant leurs missions… Ça me dépasse de manquer tellement de bons sens


En même temps, je te mets au défi de trouver une appli qui enregistre ton parcours et test données sur ton smartphone (mn/km, dénivelé, … histoire de suivre tes progressions) ET qui ne soit pas communautaire.
J’ai passé deux heures à essayer de trouver sur google play (même en payant) une appli qui ne m’oblige pas à créer un compte, et j’ai fini par abandonner et n’ai rien installé, mais je suis frustré.
Et si tu achètes une montre c’est pareil.


RatonLaveur54

En même temps, je te mets au défi de trouver une appli qui enregistre ton parcours et test données sur ton smartphone (mn/km, dénivelé, … histoire de suivre tes progressions) ET qui ne soit pas communautaire.
J’ai passé deux heures à essayer de trouver sur google play (même en payant) une appli qui ne m’oblige pas à créer un compte, et j’ai fini par abandonner et n’ai rien installé, mais je suis frustré.
Et si tu achètes une montre c’est pareil.

Tu as cette application là, pas besoin de compte, s’installe par le portail d’applications alternatif F-droid.
https://codeberg.org/jannis/FitoTrack


RatonLaveur54

En même temps, je te mets au défi de trouver une appli qui enregistre ton parcours et test données sur ton smartphone (mn/km, dénivelé, … histoire de suivre tes progressions) ET qui ne soit pas communautaire.
J’ai passé deux heures à essayer de trouver sur google play (même en payant) une appli qui ne m’oblige pas à créer un compte, et j’ai fini par abandonner et n’ai rien installé, mais je suis frustré.
Et si tu achètes une montre c’est pareil.

J’utilise Notify for Amazfit, j’ai jamais créé de compte (je pense même pas que ce soit possible ?)


RatonLaveur54

En même temps, je te mets au défi de trouver une appli qui enregistre ton parcours et test données sur ton smartphone (mn/km, dénivelé, … histoire de suivre tes progressions) ET qui ne soit pas communautaire.
J’ai passé deux heures à essayer de trouver sur google play (même en payant) une appli qui ne m’oblige pas à créer un compte, et j’ai fini par abandonner et n’ai rien installé, mais je suis frustré.
Et si tu achètes une montre c’est pareil.

J’utilise celle de decathlon


Ce que je ne comprends pas, c’est que ces gens (vu leur métier) ne mettent pas leurs sorties en mode privé, à partager seulement avec leurs contacts (comme ce qu’on fait sur FB).



Pour ma part, je mets rarement mes sorties en mode “public”, mais pas parce que je suis militaire ou autre, juste par choix.




RatonLaveur54 a dit:


En même temps, je te mets au défi de trouver une appli qui enregistre ton parcours et test données sur ton smartphone (mn/km, dénivelé, … histoire de suivre tes progressions) ET qui ne soit pas communautaire




Il y en a plein. J’en ai une depuis longtemps sur mon mobile, dont je ne me sers plus à présent que j’ai une montre GPS de sport.


Faudrait tous les virer et les enfermer: ils mettent leurs collègues en danger.
Juste pour info, c’est exactement pour cette raison (mise en danger d’agents) que des idiots acceptent ce qui arrive à Assange. Ici c’est pareil : au trou les idiots.



RatonLaveur54 a dit:


En même temps, je te mets au défi de trouver une appli qui enregistre ton parcours et test données sur ton smartphone (mn/km, dénivelé, … histoire de suivre tes progressions) ET qui ne soit pas communautaire. J’ai passé deux heures à essayer de trouver sur google play (même en payant) une appli qui ne m’oblige pas à créer un compte, et j’ai fini par abandonner et n’ai rien installé, mais je suis frustré. Et si tu achètes une montre c’est pareil.




L’application “Forme” d’Apple, avec l’exercice “Course libre” de lancé sur l’Apple Watch :)


Mais de base, comment ça se fait que des types puissent partir en mission militaire avec des objets connectés civils avec GPS et tout, ça devrait être interdit ! Ces trucs n’existaient pas avant et on s’en passait !



OlivierJ a dit:


Ce que je ne comprends pas, c’est que ces gens (vu leur métier) ne mettent pas leurs sorties en mode privé, à partager seulement avec leurs contacts (comme ce qu’on fait sur FB).



Pour ma part, je mets rarement mes sorties en mode “public”, mais pas parce que je suis militaire ou autre, juste par choix.



Il y en a plein. J’en ai une depuis longtemps sur mon mobile, dont je ne me sers plus à présent que j’ai une montre GPS de sport.




Pour ma part, ce qui me surprend, c’est qu’on autorise des appareils privés alors qu’ils sont en mission. En départ de mission, ils devraient laisser tous les objets connectés chez eux.



RatonLaveur54 a dit:


En même temps, je te mets au défi de trouver une appli qui enregistre ton parcours et test données sur ton smartphone (mn/km, dénivelé, … histoire de suivre tes progressions) ET qui ne soit pas communautaire. J’ai passé deux heures à essayer de trouver sur google play (même en payant) une appli qui ne m’oblige pas à créer un compte, et j’ai fini par abandonner et n’ai rien installé, mais je suis frustré. Et si tu achètes une montre c’est pareil.




Non mais le problème c’est leur métier et le fait d’utiliser des applications non sécure pendant leur service ….



RatonLaveur54 a dit:


En même temps, je te mets au défi de trouver une appli qui enregistre ton parcours et test données sur ton smartphone (mn/km, dénivelé, … histoire de suivre tes progressions) ET qui ne soit pas communautaire. J’ai passé deux heures à essayer de trouver sur google play (même en payant) une appli qui ne m’oblige pas à créer un compte, et j’ai fini par abandonner et n’ai rien installé, mais je suis frustré. Et si tu achètes une montre c’est pareil.




OpenTracks sur F-droid



DayWalker a dit:


Pour ma part, ce qui me surprend, c’est qu’on autorise des appareils privés alors qu’ils sont en mission. En départ de mission, ils devraient laisser tous les objets connectés chez eux.




Un montre GPS pour moi n’est pas un appareil connecté. La mienne ne se connecte qu’à mon mobile, en BT, pour transférer les données. Après ça part sur le site du fabricant où j’ai un compte, mais c’est privé par défaut.
Difficile aussi de leur interdire d’avoir un mobile, mais tu peux avoir un mobile qui ne divulgue nulle part sa position sur un site public (cas par défaut aussi).



OlivierJ a dit:


Un montre GPS pour moi n’est pas un appareil connecté. La mienne ne se connecte qu’à mon mobile, en BT, pour transférer les données. Après ça part sur le site du fabricant où j’ai un compte, mais c’est privé par défaut. Difficile aussi de leur interdire d’avoir un mobile, mais tu peux avoir un mobile qui ne divulgue nulle part sa position sur un site public (cas par défaut aussi).




J’espère que tu es au courant que la plupart des smartphones tournent sur android, et que par défaut, le compte google qui servira à gérer tes applications pourra interagir avec google maps (lui aussi très souvent installé par défaut) et que par conséquent, l’historique GPS sera sur les serveurs de google… ce qui n’est déjà PAS compatible avec “AUCUNE donnée de localisation” comme évoqué dans le fameux livret qu’ils sont sensés suivre. Pourtant, si tu veux utiliser google maps, tu peux aussi virer l’application, et t’en servir via ton navigateur. Et là, plus de tracking continu.



Ta montre connectée qui discute avec une App, qui partage ensuite ses données avec un serveur, théoriquement, c’est non autorisé : que les données GPS viennent de ta montre ou ton smartphone, c’est pareil, ce n’est pas sensé sortir du terminal. Ceci étant, les applications qui respectent le RGPD permettent généralement de ne rien faire remonter (mais il faut chercher les bons réglages)



On ne peut pas interdire le mobile…. quoique ? sur une scène de combat, la priorité, c’est la sécurité des acteurs. Un simple téléphone et une montre toute bête, ca permet aussi de savoir à quelle vitesse on a courru et si on progresse et passer un coup de fil.



RatonLaveur54 a dit:


En même temps, je te mets au défi de trouver une appli qui enregistre ton parcours et test données sur ton smartphone (mn/km, dénivelé, … histoire de suivre tes progressions) ET qui ne soit pas communautaire.




On peut rendre privé les enregistrements sur Strava, Nike Run Club, Adidas (ex runtastic)… par contre le truc très stupide, c’est que c’est activé par défaut et t’encourage à publier “en live” ta course sur leur site & notifié ça sur Facebook & co, où les gens n’ont probablement pas mis leur profil en privé.



Donc, on sait en live où une personne est avec tous les risques que ça peut engendrer.



J’avais runtastic, je l’ai viré pour passer à l’appli “Exercices” native de l’Apple Watch, qui ne partage pas les événéments. Appli couplée à “HealthFit” (payante) qui permet de faire des exports GPX et d’avoir plein de stats diverses et variées.



DayWalker a dit:


J’espère que tu es au courant que la plupart des smartphones tournent sur android, et que par défaut, le compte google qui servira à gérer tes applications pourra interagir avec google maps (lui aussi très souvent installé par défaut) et que par conséquent, l’historique GPS sera sur les serveurs de google…




Je ne sais pas quel est le réglage par défaut, mais ça se bloque ; et surtout ça n’est pas disponible publiquement.




Ta montre connectée qui discute avec une App, qui partage ensuite ses données avec un serveur, théoriquement, c’est non autorisé




Ben déjà il faut se créer un compte pour que les données partent vers un serveur.




On ne peut pas interdire le mobile…. quoique ? sur une scène de combat, la priorité, c’est la sécurité des acteurs.




Mais là il n’est pas question de scènes de combat, mais de simple bases/zones militaires.
(par ailleurs, je ne sais pas comment nos forces militaires engagées, par exemple au Mali, gèrent leur mobile - je suppose qu’ils le laissent à la base en partant en patrouille, mais pas sûr car ça peut servir)