logo

Strava, l’appli pour coureurs qui en dit long sur les bases militaires secrètes

Bases militaires plus ou moins secrètes, mouvements de troupes en Ukraine, emplacements de sites de missiles : la carte du monde des coureurs inscrits au réseau social pour athlètes Strava est un casse-tête sécuritaire.

C’est la carte du monde des "joggers". Établie par l’appli Strava, qui existe depuis 2009, elle montre le parcours des sportifs du dimanche, des athlètes qui participent au marathon de Paris, mais aussi des militaires qui font leurs entraînements quotidiens sur des bases sensibles et parfois secrètes en Syrie, Afghanistan ou encore au Niger.

En novembre 2017, Strava – un réseau social pour sportifs – mettait en ligne sa carte mondiale de l’activité de ses 27 millions d’utilisateurs : 5 % de la surface de la Terre couverte par un milliard de milliards de pixels de courses à pied ou à vélo sur une distance totale de 27 milliards de kilomètres. Nathan Ruser, un étudiant australien passionné des questions de sécurité internationale, a découvert, dimanche 28 janvier, l’étendue des implications sécuritaires de cette mise en ligne.

hmmm i wonder whats at this random heavy route in what looks like a mountainous and remote area of libya. Oh look some bunkers that were targeted in 2011 pic.twitter.com/gg5VFIPVQZ

  Lost Weapons (@LostWeapons) 27 janvier 2018

La faute aux bracelets connectés

Nathan Ruser a ainsi posté, sur son fil Twitter et depuis chez lui, l’emplacement des bases avancées opérationnelles américaines autour de Kandahar, en Afghanistan, telles qu’elles apparaissaient sur la carte de Strava. Leur existence était connue, mais les entraînements sportifs autour de ces bases peuvent donner des informations importantes à des combattants ennemis cherchant à organiser des embuscades. Pour illustrer ce risque, Nathan Ruser a isolé une ligne rouge qui sort d’une base militaire “et semble indiquer un itinéraire habituel de jogging de soldat, ce que je ne devrais pas être capable de voir de si loin”, déclare-t-il sur son fil. L’outil de Strava peut ainsi être utilisé à des fins de contre-espionnage.

Strava ne précise pas sur sa carte, bien sûr, si les traces laissées proviennent de simples civils, de soldats ou encore s’il s’agit de résidents américains, français, d’Afghans ou d’Irakiens. Tout point lumineux isolé n’est pas forcément un site militaire top secret. Néanmoins, pour que les “prouesses” athlétiques apparaissent, il faut avoir l’application Strava sur son smartphone, ou avoir relié son bracelet connecté Fitbit ou autres à cette plateforme.

Some heavy jogging activity on the beach around what looks like the reported CIA annex at Mogadishu airport pic.twitter.com/1OLP8zWKGl

  Adam Rawnsley (@arawnsley) 27 janvier 2018

Les soldats américains en disposent, puisque l’armée américaine a distribué 2 500 de ces bracelets à l’occasion d’une opération en 2013 pour lutter contre l’obésité. Dans des régions particulièrement isolées, en plein milieu du Sahara ou dans les montagnes afghanes, les petits points lumineux qui apparaissent sur la carte de Strava ont davantage de chances de provenir de mouvements de militaires connectés que de locaux équipés d’un smartphone ou d’un Fitbit voulant partager avec le monde entier leurs petites courses quotidiennes du matin.

L’armée américaine semble du même avis et a décidé, dimanche 28 janvier, de regarder de plus près les informations sensibles que cette carte pourrait révéler. D’autres experts militaires et journalistes spécialisés s’y sont aussi attelés. Les uns ont retrouvé une intense activité non loin de l’aéroport de Mogadiscio, en Somalie, dans une zone qui abriterait une base de la CIA. Un autre estime que la carte de Strava confirme l’existence d’un “site secret” de la CIA dans les environs de Djibouti. Un spécialiste de l’Ukraine, le journaliste Christopher Miller, explique aussi que ces données permettent d’en savoir plus sur les mouvements de troupes dans la région de Donetsk, puisqu’il n’y a quasiment plus que des soldats russes ou militants séparatistes dans certaines zones.

Manque de discrétion technologique

Les implications sécuritaires de cette mise en ligne sont encore plus graves, d’après Jeffrey Lewis, directeur du programme de non-prolifération en Asie du Sud-Est de l’université de Monterrey (Mexique). “Les données collectées par Strava permettent aussi de suivre les déplacements d’un utilisateur sur une longue période de temps, des données très sensibles pour, par exemple, des soldats affectés à la protection de site de lancement de missiles”, écrit-il sur le site The Daily Dot. Une catastrophe potentielle, d’après lui, pour Taïwan qui fait tout pour cacher ses sites de lancement de missiles. L’un des emplacements est pourtant connu et il suffirait de retrouver l’itinéraire d’un soldat affecté à ce lieu stratégique et inscrit à Strava : "Comme ces militaires font la tournée des sites de missiles qu’ils doivent protéger, un pirate informatique, par exemple chinois, qui mettrait la main sur toutes les données de Strava, pourrait aisément confirmer la localisation de tous les lieux de lancement”, affirme-t-il.

If soldiers use the app like normal people do, by turning it on tracking when they go to do exercise, it could be especially dangerous. This particular track looks like it logs a regular jogging route. I shouldn't be able to establish any Pattern of life info from this far away pic.twitter.com/Rf5mpAKme2

  Nathan Ruser (@Nrg8000) 27 janvier 2018

Cette fuite de données sensibles, bien involontaire, aurait pu être évitée, avec un peu plus de discrétion technologique de la part des militaires en place. Strava précise qu’il existe des réglages simples pour : définir une zone géographique “privée” à ignorer par Strava ou interdire purement et simplement à la plateforme de collecter et de publier les données. L’armée américaine n’a pas précisé s’il existait des règles spécifiques à suivre pour l’utilisation de bracelet connecté.

Mais cela pourrait être pire encore : Strava n’a accès qu’à une somme d’informations limitées. Les dégâts auraient été autrement plus importants si les données de géolocalisation glanées au fil des ans par Google, grâce au milliard de smartphones Android en circulation avec leur GPS, venaient à fuiter. Jusqu’à présent, grâce au GPS on pouvait trouver facilement le café du coin, cette affaire montre qu’il permet de tout aussi facilement localiser le site ultra-secret le plus proche de chez vous.