Identification de bases militaires, d’agents du Mossad ou de la DGSE : Strava a déjà une longue histoire de failles sécuritaires

Chaque année ou presque depuis 2018, les médias révèlent un nouveau fiasco sécuritaire conséquence d’une mauvaise utilisation de la populaire application de footing Strava. On doit les dernières révélations en date au journal le Monde, qui, avec les «StravaLeaks», a démontré comment l’utilisation imprudente de l’application par les gardes du corps d’Emmanuel Macron, Joe Biden et Vladimir Poutine, pouvait indiquer plusieurs jours à l’avance leurs lieux de résidences respectifs lors de leurs déplacements. Une information susceptible de les mettre en danger. Depuis six ans, pourtant, de nombreux ratés similaires ont été révélés dans les médias, sans que ses alertes ne semblent avoir été prises en compte par les services de sûreté des chefs d’Etat.

En septembre 2017, Strava lance sa «Global Heatmap» qui cartographie l’ensemble des trajets empruntés par ses utilisateurs. Plus un itinéraire est emprunté, plus son tracé est épais et lumineux. L’application précise alors que «plus important encore, la Heatmap ne contient que des activités publiques et respecte tous les paramètres de confidentialité». Malgré ces précautions, dès janvier 2018, un étudiant australien repère sur la «Heatmap» des lignes lumineuses tracées par des usagers de Strava en plein désert syrien. La zone est pourtant inhabitée et l’Etat islamique y est encore actif. L’emplacement incongru de ces trajectoires de courses laisse peu de doute sur l’identité des usagers les ayant tracés : des militaires ayant partagé publiquement leur activité au sein ou autour de leurs bases. Par ce procédé, l’étudiant repère et partage sur Twitter plusieurs emplacements et les plans de bases militaires américaines, turques, russes en Syrie, mais aussi celui de bases fortifiées en Afghanistan et d’une base en Ecosse qui contient l’arsenal nucléaire du Royaume-Uni.

Dans la foulée de cette publication Twitter, de nombreux médias se saisissent de l’affaire pour alerter sur les atteintes à la sécurité des bases du fait de la «HeatMap». Toujours en janvier, le Washington Post fait état de bases militaires américaines en Irak, cartographiées par l’application. Le même mois, le Monde mentionne dans un article l’existence d’une position française au Niger révélée par le même procédé. Le quotidien français, dans son article, précise que «les données fournies par Strava sont heureusement particulièrement imprécises. Elles sont anonymes».

Identifier les agents de la DGSE

Une anonymisation imparfaite car ce même mois de janvier, le magazine américain Wired publie un article qui donne la méthode pour… «désanonymiser les données de Strava et montrer qui faisait de l’exercice entre les murs de certaines des installations les plus secrètes du monde». La technique est simple. Il s’agit d’abord de créer un «segment GPS» dans une zone de son choix, le siège du Mossad par exemple. Ce segment est une zone dans laquelle les activités sportives peuvent être chronométrées, comparées et classées entre usagers. Les segments peuvent être consultés sur le site Web de l’application. Une fois téléchargés, ils affichent le Top 10 des meilleurs temps par sexe et groupe d’âge. Les pseudos des utilisateurs de Strava peuvent être consultables ainsi.

En février de la même année, le Canard enchaîné et le Télégramme révèlent qu’ils ont pu identifier plusieurs d’agents de la DGSE par le biais de cette méthode de désanonymisation. Un mois plus tard, c’est au tour du journal le Point de démontrer qu’il est possible, via Strava, de connaître ainsi l’identité de certains agents de la DGSE et de la DGSI, celles de certains de leurs proches ainsi que l’adresse de leur domicile.

Le journaliste derrière ces trois articles, Jean-Marc Manach, a précisé des années plus tard sur le site Next, sa méthode pour retrouver une vingtaine d’agents du renseignement, à partir de leurs pseudos sur Strava. Contacté par CheckNews, Jean-Marc Manach raconte : «Au début, je suis allé chercher des militaires français en opérations extérieures, mais c’était tellement simple que j’avais peur que d’autres journalistes trouvent la même chose que moi. Alors j’ai arrêté pour retrouver les personnes les moins susceptibles d’être géolocalisées : les agents de la DGSE.» En décembre 2020, Mediapart révèle justement avoir retrouvé le profil de plus de 1 000 militaires français déployés à l’étranger, dont 200 sont membres des forces spéciales.

Assassinat ciblé

En juin 2022, le collectif israélien d’experts de l’investigation numérique FakeReporter publie sur Twitter une alerte concernant l’usage de faux profils Strava «pour espionner le personnel de sécurité israélien travaillant sur des sites sensibles», en utilisant la technique des «segments». L’information est relayée le même jour par le Jerusalem Post, la BBC ou encore le magazine Forbes. Selon The Guardian, les sites concernés par cet espionnage sont notamment le quartier général du Mossad, une base de l’armée de l’air israélienne et une base située à proximité d’un réacteur nucléaire.

L’application Strava réagit alors en supprimant ces faux profils, dont celui de Jean-Marc Manach qui travaillait justement sur les services de renseignement d’autres pays : les Américains de la NSA, les Britanniques du GCHQ et les Israéliens de l’Unité 8200. Dans son article sur Next, il explique que «[s’il n’a] pu découvrir que quelques soldats israéliens, [il a] identifié des dizaines, et même plus d’une centaine, d’agents américains et britanniques».

La guerre en Ukraine fournit le premier exemple connu d’utilisation de Strava pour mener un assassinat ciblé. Le 10 juillet 2023, un ex-commandant de sous-marin russe est abattu pendant son jogging en Russie. L’Ukraine est accusé d’avoir mené l’opération, à l’aide de l’application Strava. En effet, l’ex-commandant est assassiné sur son trajet habituel de footing, qu’il référençait scrupuleusement sur l’application. Un détail relevé par plusieurs sources russes.

En utilisant Strava, ces données en sources ouvertes et de simples techniques déjà rendus publiques par de nombreux médias, le Monde a pu identifier une nouvelle faille de sécurité en s’intéressant à une autre catégorie d’agents : les gardes du corps des chefs d’Etat. Une alerte de plus concernant Strava, que l’Elysée semble aborder avec sérénité. Dans un communiqué succinct, la présidence répond au Monde que «les conséquences […] liées à l’utilisation de l’application Strava par certains membres du GSPR [les gardes du corps du Président, ndlr] à l’occasion de leurs footings sont très faibles».