Fitness: L’application d’activité Polar a révélé les adresses personnelles d’agents du renseignement
Polar, l’appli fitness qui aime trop espions et militaires, pas assez la vie privée
Sécurité : Les données de
localisation de l’application d’activité Polar ont révélé les adresses
personnelles d’agents du renseignement, et ce même lorsque leurs profils
étaient définis comme privés.
Une application de fitness populaire, qui suit les données
d'activité de millions d'utilisateurs, a révélé par inadvertance les
emplacements du personnel travaillant dans des bases militaires et pour
les services de renseignement.
L'application Polar Flow, créée par la société éponyme Polar, un géant finlandais basé à New York, permettait à quiconque
d'accéder aux activités de fitness d'un utilisateur sur plusieurs années, en modifiant simplement son adresse Web.
Un mode privé ? Inutile
Pour
la plupart des utilisateurs qui choisissent de rendre publiques leurs
données d'activité, l'affichage de leurs entraînements sur la carte
Explore de Polar est une fonctionnalité et non un problème de
confidentialité. Toutefois, même avec des profils paramétrés en mode
privé, l'activité physique d'un utilisateur peut révéler où celle-ci
réside.
L’exposition de la localisation d’une personne
travaillant dans une installation gouvernementale ou militaire peut
ainsi rapidement devenir un risque pour la sécurité nationale.
C'est
la deuxième fois cette année qu'une application de fitness suscite la
controverse en révélant la localisation du personnel d’installations
sensibles.
Strava a changé ses paramètres de confidentialité après qu’il ait été révélé que le tracker exposait les routes classifiées entre les bases sur le champ de bataille.
A
présent, une enquête menée par les sites d'information néerlandais De
Correspondent et Bellingcat a révélé que Polar Flow avait exposé ses
données de suivi d’activité. L'API développeur de la société pouvait
être sollicitée pour récupérer des activités de fitness, comme chaque
session de course et de cyclisme, pour n'importe quel utilisateur.
Avec
deux paires de coordonnées placées au-dessus d'un lieu ou d'une
installation gouvernementale sensible, il a été possible de trouver les
noms de membres du personnel enregistrant leurs activités physiques
grâce à Polar.
Les journalistes ont identifié plus de 6.400
utilisateurs supposés intervenir sur des lieux sensibles, notamment la
NSA, la Maison Blanche, le MI6 à Londres et le centre de détention de
Guantanamo Bay à Cuba, ainsi que du personnel travaillant sur des bases
militaires étrangères.
Les noms d’officiers et agents des services
de renseignements étrangers, comme le GCHQ à Cheltenham, la DGSE à
Paris et le GRU russe à Moscou, ont également été trouvés.
Le personnel des installations de stockage nucléaire, des silos de missiles et des prisons a également été repéré.
Une API trop bavarde
Non
seulement il était possible de voir exactement où un utilisateur avait
fait de l'exercice, mais il était facile également de déterminer
précisément son lieu de résidence, ou s'il avait commencé ou arrêté le
suivi de son activité physique dès la sortie de son domicile.
Comme
il n'y avait pas de limites au nombre de requêtes que les journalistes
pouvaient effectuer, couplées à des ID utilisateur facilement
dénombrables, il était possible pour n'importe qui - y compris des
acteurs malveillants ou des services de renseignement étrangers - de
récupérer les données d'activité de millions d'utilisateurs.
Mais
les journalistes ont également découvert qu'ils pouvaient tromper l'API
en récupérant des données de suivi de profils privés.
Dans
les zones densément peuplées telles que la Maison Blanche, le nombre de
personnes ordinaires activant l'application à proximité est plus élevé,
ce qui ajoute beaucoup de bruit indésirable aux données. En revanche,
les camps militaires isolés et les bases gouvernementales donnaient de
meilleurs résultats.
De Correspondent démontre dans un rapport
supplémentaire combien il était facile de suivre un utilisateur de
Polar, supposé être un officier du service de renseignement de l'État
néerlandais, et même de localiser son adresse personnelle. Pourtant,
dans certains pays, comme aux Pays-Bas, révéler l'identité d'un agent de
renseignement est illégal, rappelle le quotidien.
ZDNet a été
en mesure de suivre le trajet d'une personne ayant fait de l'exercice à
proximité du siège de la NSA à Fort Meade. L'utilisateur a plus tard
commencé le suivi d'activité lors de son départ de son domicile en
Virginie voisine. Grâce aux archives publiques, nous avons confirmé son
nom et sa fonction de haut responsable militaire.
Une autre
personne, également considérée comme un membre du personnel de la NSA
basé à Fort Meade, a été retrouvée en train de faire de l'exercice près
du centre de détention de Guantanamo Bay.
Les reporters
néerlandais ont par ailleurs trouvé les données de suivi de plusieurs
officiers militaires et de renseignement étrangers à proximité
d'installations sensibles aux États-Unis.
Les données
permettent de construire une image troublante de la vie d'une personne,
où elle vit, où elle va, et fournissent des pistes supplémentaires sur
son identité et ses relations.
Polar ? Conforme au RGPD, oui oui
Informé en amont, Polar a retiré sa fonction de cartographie avant la publication de l'enquête journalistique.
Dans
une réaction envoyée par Marco Suvilaakso, directeur de la stratégie de
Polar, la société déclare avoir "récemment appris que les données de
localisation publique partagées par les clients via la fonction Explore
dans Flow pourraient fournir des informations sur les sites
potentiellement sensibles".
L'entreprise réfute en revanche toute fuite ou une violation de ses systèmes.
"Actuellement,
la grande majorité des clients Polar conservent des profils privés par
défaut et les paramètres de données des sessions privées, et ne sont
aucunement affectés par ce cas" indique le communiqué.
"Bien
que la décision d'accepter et de partager les sessions de formation et
les données de localisation GPS relève du choix et de la responsabilité
du client, nous sommes conscients que des emplacements potentiellement
sensibles apparaissent dans les données publiques et avons décidé de
suspendre temporairement l'API Explore."
Nous
avons demandé à Polar si cette exposition de données, en particulier la
révélation de certaines adresses personnelles sur des profils privés,
constituait une violation de la nouvelle loi européenne sur la
protection des données - connue sous le nom de RGPD.
"Oui, nous sommes conformes RGPD" commente Suvilaakso.
Polar ne communique pas ses chiffres d'utilisateurs, mais De Correspondent a trouvé plus de 30 millions d'utilisateurs.
De
Correspondent a contacté les autorités néerlandaises et finlandaises
pour sécuriser la plateforme Polar, tandis que ZDNet a contacté
plusieurs autorités américaines au sujet de cette compromission de
données.
Nous avons contacté différents départements du
gouvernement US, y compris le bureau du directeur du renseignement
national, qui supervise la communauté du renseignement et ses agences.
Son porte-parole Charles Carithers déclare que l'ODNI est "conscient des
impacts potentiels" des terminaux qui recueillent et transmettent des
données personnelles et de localisation.
Les agences de renseignement conscientes des risques
"L'utilisation
de terminaux de suivi de l'activité physique et similaires par des
personnes engagées dans l'action du gouvernement américain est
déterminée et dirigée par chaque agence et département" annonce-t-il.
Le
porte-parole de la NSA, Brynn Freeland, précise que l'agence "a mis en
place et applique des politiques concernant l'utilisation de wearables
dans les zones de travail contrôlées", mais ne précise pas le contenu de
ces politiques.
"En outre, nous menons une campagne de
formation continue pour nos employés en mettant l'accent sur la relation
entre la technologie, leur vie privée et la sécurité opérationnelle"
ajoute-t-il.
Sollicités, la CIA, la Maison Blanche, le Conseil de sécurité nationale, le FBI et le Pentagone n'ont pas fait de commentaire.
Dans
des déclarations antérieures, le ministère en charge de la supervision
des militaires déclarait prendre "des questions comme celles-ci très au
sérieux." D'après de précédentes déclarations, le personnel militaire
n'est pas autorisé à utiliser des trackers d'activité disposant d'une
connectivité Wi-Fi ou cellulaires. Les terminaux Bluetooth et GPS
synchronisant les données sur les téléphones seraient en revanche admis.
Polar
n'est pas la seule société de suivi de l'activité physique à exposer
par inadvertance des données utilisateur. D'autres applications de
fitness ont eu des problèmes similaires, mais dans une ampleur moindre
que pour Polar selon les journalistes néerlandais.
Polar s'est excusé pour le désagrément causé par la suspension de la carte.
"Cependant,
notre objectif est d'élever le niveau de protection de la vie privée et
d'accroître la sensibilisation aux bonnes pratiques personnelles en
matière de partage des données de localisation GPS" promet l'éditeur.
REF.: