Il y a quelques jours, la société Strava dévoilait une carte mondiale représentant les traces GPS d’utilisateurs de bracelets connectés à travers le monde, en exploitant les données recueillies sur son réseau social sportif. La carte représente la densité de fréquentation de certaines zones prisées par les sportifs sous la forme d’une carte de chaleur. Si les données restent anonymes, l’outil compte parmi ses utilisateurs de nombreux militaires, ce qui a eu par conséquence de mettre en lumière la localisation de nombreuses installations militaires de part le monde.

La carte en question recense pas moins d’un milliard d’activités sur les 27 millions d’utilisateurs que compte l’application depuis 2015. Les grandes villes du monde apparaissent généralement en forte surbrillance, et à l’opposé, les zones de conflits sont généralement plus pauvres en informations mais laisse néanmoins deviner d’intenses activités sur des zones restreintes, il s’agit souvent d’installations militaires. Ukraine, Mali, Afghanistan, Yémen, Syrie, depuis la révélation de l’affaire, la toile est en ébullition et grouille d’articles et forums pour identifier les sites militaires mis en lumière par la carte de strava à travers le monde.

Si un grand nombre des sites concernés étaient déjà visibles sur Google Earth, la carte de chaleur publiée par la société a permis de mettre en évidence l’activité humaine et sa fréquence dans le monde entier. Menace potentielle pour la sécurité du personnel militaire ? Cette carte a le mérite de relancer le débat sur la sécurité des informations que nous produisons quotidiennement et souligne le caractère sensible que peut avoir l’usage d’Internet et des objets connectés par des personnels tenus au secret.

Nos données de géolocalisation hors de contrôle ?

neerby_interview_capitalC’est un fait, nous vivons aujourd’hui dans une société hyper-localisée et avons de plus en plus recours à des applications mobiles et objets connectés.  Sport, santé, navigation, divertissement, les applications qui exploitent notre géolocalisation ne manquent pas pour accompagner notre quotidien. Si la géolocalisation est généralement mis en avant pour nous apporter toujours plus de services et plus grande interaction avec notre environnement, les données qui en résultent représentent quant à elles un enjeu majeur convoité par de nombreuses entreprises. Les spécialistes de la donnée promettent aux entreprises de cibler leurs client potentiels en analysant leurs habitudes et leurs trajets. Ces dernières font part de solutions toujours plus inédites pour collecter cette précieuse ressource avec ou sans l’accord des utilisateurs, profitant parfois de flous juridiques sur la question.

Une pratique de plus en plus intrusive

La collecte de données de localisation se banalise et se fait souvent à l’insu de l’utilisateur, par l’intermédiaire d’applications dont la géolocalisation n’est pas leur vocation (telles que les applications d’actualité, paiement, enseignes et autres). Pour ces applications, l’enjeu est de générer des revenus publicitaires grâce à l’exploitation des informations de localisation de leurs utilisateurs. Le Figaro, l’Equipe, la Fnac ou encore Télé Loisir, il existe aujourd’hui plus d’une cinquantaine d’applications qui utilisent des modules publicitaires comme celui développé par la jeune start-up française Teemo. Elle serait en mesure de traquer environ 10 millions de Français en continu avec une fréquence de captation de 3 minutes. Si la start-up assure anonymiser l’ensemble des données collectées et ne les garder que 13 mois maximum, elle serait néanmoins en mesure de retrouver l’identité des utilisateurs grâce à un identifiant unique des téléphones mobiles utilisé par les publicitaires (IDFA pour les téléphones sous IOS, AAID pour Android) ou encore plus simplement, en identifiant les lieux de travail et domicile de l’utilisateur en analysant les données collectées.

Pointée du doigt pour ses pratiques, la start-up n’est pourtant pas la seule à recueillir des données à l’insu de ses utilisateurs, il ne faut pas oublier que Google reste le champion en la matière. Pour rappel, Google lançait en novembre 2016 un service permettant de visualiser en temps réel la fréquentation de tout type de lieux en exploitant les données de géolocalisation des utilisateurs du système d’exploitation Android mais également des utilisateurs de ses applications sur d’autres OS. Aujourd’hui la pratique se généralise et fait son apparition notamment dans les centres commerciaux, où on s’intéresse beaucoup à la géolocalisation indoor (à l’intérieur de bâtiments) pour analyser le comportement des consommateurs.

Contrairement aux idées reçues, le phénomène ne touche pas seulement le secteur privé. Le 20 octobre dernier, une enquête du journal Le Monde révélait que l’application de paiement Izly mis à disposition par le Centre national des œuvres universitaires et scolaires (CNOUS) pour permettre aux étudiants de payer leur restaurant universitaire, envoie des informations de géolocalisation à plusieurs sociétés tierces spécialisées dans le ciblage marketing.

La sécurité des utilisateurs en question

L’anonymisation des données n’est ni une certitude, ni une garantie du respect de la vie privée, de plus, il est difficile d’affirmer que les données recueillies sont réellement protégées. Le développeur britannique Steve Loughran a récemment démontré sur son blog qu’il était possible de dés-anonymiser les données postées sur le site de Strava et d’obtenir les noms et parcours des utilisateurs dans une même zone géographique. Dans ce cas, il ne s’agit non pas de la carte de chaleur mais directement de l’application Strava qui est mise en cause, elle permet de chronométrer et comparer les temps d’une course avec les autres utilisateurs.

Le blogueur explique comment « pirater » l’application en créant manuellement un fichier GPS et le charger sur Strava en tant qu’activité. Une fois téléchargé, le segment affiche les temps les plus élevés des personnes qui s’exercent dans une zone. C’est grâce à cette méthode que le blogueur a pu visualiser les parcours et noms (ou pseudonymes) des personnes circulant à l’intérieur de la base navale sous-marine britannique de Clyde, à Faslane (Ecosse).

strava djibouti
Traces GPS sur la base de drones de Chabelley, Djibouti © Image Strava

A la suite de son enquête, The Guardian constate à son tour qu’il est possible d’identifier et suivre les utilisateurs grâce à leur profil courant. L’étude du journal lui a permit de déduire un certain nombre d’informations comme de suivre les différentes affectations successives d’utilisateurs appartenant très probablement à l’US Air Force et basés sur la base de drone de Chabelley à Djibouti.

Le challenge de la confidentialité à l’heure d’Internet

Vu comme un véritable gage de transparence ou comme une menace pour certains, notre société de l’information hyperconnectée permet la divulgation et le partage d’informations à caractère sensible en quelques secondes à travers le monde. Les armées redoutent le partage d’informations pouvant compromettre la confidentialité de leurs actions. Pour rappel, l’invasion de la Crimée par les forces Russes en 2014 avait été suivi de très près par la communauté internationale, le rôle alors tenu par les médias sociaux avait été déterminant. Ces outils se sont révélés être de redoutables relais de l’information pour suivre rapidement l’évolution d’une situation à distance. Le nombre de contributeurs sur ces réseaux permet de facilement recouper des informations et vérifier leur véracité. C’est sur principe que le blog CIGeography s’est appuyé pour estimer le volume des forces armées Russes déployées sur le territoire Ukrainien en 2014. Le blog a pu grâce à ce travail d’exploitation des réseaux sociaux, établir une cartographie précise et régulièrement actualisée des forces en présence tout au long de la crise de Crimée.

L’exploitation des médias sociaux ouvre de nombreuses perspectives mais implique également la mobilisation de ressources importantes pour qualifier et analyser les masses de données produites. Avec la facilité des réseaux sociaux, n’importe quel utilisateur – militaire ou civil – peut à tout moment, poster des informations de valeur, photos géotaggées ou vidéos sensibles et compromettre la sécurité de personnels engagés en opération.

Sensibiliser davantage les utilisateurs

Il faut garder à l’esprit que la vie numérique des personnels militaires et de leur famille est susceptible de remettre en cause leur propre sécurité. Les messages, photos ou encore traces GPS (pour revenir sur le cas de Strava) partagées sur le web risquent compromettre des actions militaires sous le couvert du secret et atteindre à la sécurité de personnels militaires œuvrant dans des zones sensibles. Pour rappel, l’exploitation des données publiées sur les réseaux sociaux avaient permis de mettre en lumière l’implication des forces armées russes dans l’affaire du vol MH17 de la Malaysian Airlines, abattu par un missile sol-air le 17 juillet 2014.

Le rapport rédigé par les journalistes du site Bellingcat avait déjà à l’époque mis en évidence les publications (et indiscrétions) des soldats russes sur le réseau social russe VK au sujet du déploiement du système sol-air 9M36 Buk (SA-11) dans la zone frontalière Ukraino-Russe. L’ensemble des données recueillies ont notamment permit d’identifier l’unité logistique et personnels ayant convoyé le matériel, ainsi que de retracer l’itinéraire du convoi dans son ensemble, entre les mois de juin et juillet 2014. Les photos postées par les soldats avaient pour leur grande majorité des informations de localisation associées.

Plus récemment encore et suite à la publication de la carte de chaleur de Strava, ce même site publiait un article mettant en évidence les sites militaires occupés par les forces armées Emiriennes au Yémen. La carte permet ainsi de rapidement identifier l’ensemble des sites d’intérêt militaire grâce à leur activité dont notamment les sites sol-air Patriot et bases aériennes utilisées pour soutenir les opérations au Yémen.

Mieux se prémunir contre les risques

L’usage de la géolocalisation, des smartphones et objets connectés est tellement ancré dans notre société aujourd’hui qu’il est presque impossible à interdire. La meilleure solution semble donc de miser sur la sensibilisation des utilisateurs sur les risques encourus et sur le fonctionnement de ces outils. L’affaire de Strava s’est suivi par des rappels dans le monde entier sur les précautions d’usage et comportements à adopter à l’intention des personnels travaillant dans des milieux sensibles, il est probable que des mesures plus concrètes soit prises dans les mois à venir par les armées et que ce risque soit mieux pris en compte.

Depuis 2016, les marines américains ont adopté des politiques claires sur l’utilisation des «appareils de fitness personnels portables» . Ces appareils sont interdits «s’ils contiennent des capacités cellulaires ou wifi, photographiques, de capture / enregistrement vidéo, de microphone ou d’enregistrement audio». Il est notamment mentionné que «la simple désactivation de la capacité cellulaire, caméra ou vidéo n’est pas suffisante». Cependant, les dispositifs qui ne contiennent pas ces caractéristiques – ce qui inclus les appareils dotés d’une connectivité Bluetooth et d’une fonction de suivi GPS – peuvent être utilisés sur les bases des marines. Ces fonctionnalités permettent à des applications telles que Strava d’être utilisées.

Les objets connectés représentent-ils une menace ?

Peu sécurisés et souvent vulnérables, les objets connectés ont déjà été pointé du doigt à de nombreuses reprises par les expert en cybersécurité. les objets connectés sont la plupart du temps conçus sans possibilité de mise à jour du système d’exploitation, ce qui empêche de combler les failles de sécurité même lorsque celles-ci sont détectées. L’utilisation des objets connectés agrandit la fenêtre des attaques possibles pour leurs utilisateurs, avec pour risque, le vol ou la destruction de données potentiellement sensibles pouvant compromettre l’anonymat des utilisateurs. Certains de ces matériels ont par exemple déjà été à l’origine d’attaques de grande ampleur menées sur le web comme celle survenue en octobre 2016 qui a touché Twitter, Google, Facebook et Spotify pendant plusieurs heures.

A l’heure ou l’utilisation des objets connectés est envisagée par de nombreuses armées du monde (on parle alors de Internet of Battlefield Things – IoBT), une vraie réflexion s’impose sur la sécurité de ces dispositifs comme aux précautions à prendre pour garantir la sécurité des personnels et des informations sensibles des forces armées.

Jean-Philippe Morisseau

 

Bibliographie

  1. Signoret P. « Teemo, la start-up qui traque 10 millions de Français en continu » https://lexpansion.lexpress.fr/high-tech/teemo-la-start-up-qui-traque-10-millions-de-francais-en-continu_1937638.html
  2. Signoret P. « Au BHV, et ailleurs, mieux vaut éteindre son téléphone pour éviter d’être pisté » https://lexpansion.lexpress.fr/high-tech/au-bhv-et-ailleurs-mieux-vaut-eteindre-son-telephone-pour-eviter-d-etre-piste_1932857.html
  3. US Marines Corps « Authorization for personal wearable fitness devices (PWFD) in marine corps facilities » http://www.marines.mil/News/Messages/Messages-Display/Article/897971/authorization-for-personal-wearable-fitness-devices-pwfd-in-marine-corps-facili/
  4. Signoret P. « Comment le centre-commercial des Quatre Temps a traqué ses visiteurs » https://lexpansion.lexpress.fr/high-tech/comment-le-centre-commercial-des-quatre-temps-a-traque-ses-visiteurs_1927269.html
  5. Foerch A. « Fitness Tracking & Privacy » http://trajectorymagazine.com/fitness-tracking-privacy/
  6. Untersinger M. « Izly, l’appli du Cnous qui géolocalise des étudiants et renseigne des sociétés publicitaires  » http://www.lemonde.fr/pixels/article/2017/10/20/izly-l-appli-du-cnous-qui-geolocalise-des-etudiants-et-renseigne-des-societes-publicitaires_5203902_4408996.html
  7. Duke University « Internet of Battlefield Things (IoBT) Collaborative Research Alliance (CRA) »  https://researchfunding.duke.edu/internet-battlefield-things-iobt-collaborative-research-alliance-cra
  8. Toler A. « How to Use and Interpret Data from Strava’s Activity Map » https://www.bellingcat.com/resources/how-tos/2018/01/29/strava-interpretation-guide/
Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

w

Connexion à %s