Des experts en cybersécurité sont parvenus à retrouver l’adresse précise d’un utilisateur en comparant son activité sur l’application sportive Strava et ses données sur le web.

Strava, l’une des applis de suivi sportif les plus populaires au monde — près de 100 millions d’utilisateurs actifs — contient des failles de sécurité, selon un article du média Bleeping Computer publié le 11 juin. Des chercheurs de l’université de Caroline du Nord ont publié un rapport sur des données ouvertement accessibles et permettant de retracer le trajet d’un utilisateur.

Depuis 2018, Strava offre à ses abonnés une option « heatmap » permettant de retracer les zones d’exercice les plus actives sur une carte. Un sportif pourra consulter les circuits où il se dépense le plus, mais peut aussi chercher d’autres trajets populaires puisque l’application prétend récupérer des données anonymement pour proposer des courses à ses utilisateurs.

Pour tester la sécurité de l’appli, les chercheurs ont commencé par analyser toutes les images pour détecter des zones de départ et d’arrêt dans des rues spécifiques dans trois États américains. Après avoir sélectionné des cartes thermiques, l’équipe d’experts a superposé des images du site OpenStreetMaps permettant d’identifier des adresses de résidence individuelles. Ils ont ensuite cherché des utilisateurs ayant enregistré une ville précise comme lieu de résidence. En comparant les points d’arrivée et les données personnelles d’un abonné à partir de la fonction de recherche, les chercheurs ont pu établir une corrélation entre l’activité élevée de la carte thermique et l’adresse du domicile des utilisateurs.

Une forte activité offre plus d’infos

En s’appuyant sur les informations enregistrées dans les listes électorales, les prédictions des chercheurs étaient justes dans environ 37,5 % des cas. Plus l’utilisateur était actif et plus les probabilités pour connaître son adresse et ses déplacements étaient hautes. Un sportif qui combine, par exemple, le cyclisme et la natation, offre encore plus de données à la plateforme.

Une « heat map » permet de détecter une forte activité dans l'allée devant l'entrée d'un domicile. // Source : Université de Caroline du Nord
Une « heat map » permet de détecter une forte activité dans l’allée devant l’entrée d’un domicile. // Source : Université de Caroline du Nord
Il est possible de suivre un utilisateur en notant plusieurs points précis d'activités sur une carte. // Source : Université de Caroline du Sud
Il est possible de suivre un utilisateur en notant plusieurs points précis d’activités sur une carte. // Source : Université de Caroline du Sud

Naturellement, si l’individu réside dans une zone à forte densité de population, cela rend sa géolocalisation plus compliquée. Les habitants de pavillons résidentiels rendent en revanche la tâche plus aisée, puisque les maisons permettent de rattacher un point de départ à un utilisateur.

Le taux de réussite de 37,5% est suffisamment haut pour poser un risque pour la sécurité d’une personne. La méthode employée par les chercheurs demande très peu de technique et un individu assez motivé pourra obtenir des infos précises sur une cible. Il est recommandé d’offrir le moins de données possibles aux applications.

une comparateur meilleur vpn numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !