Strava, l’une des applis de suivi sportif les plus populaires au monde — près de 100 millions d’utilisateurs actifs — contient des failles de sécurité, selon un article du média Bleeping Computer publié le 11 juin. Des chercheurs de l’université de Caroline du Nord ont publié un rapport sur des données ouvertement accessibles et permettant de retracer le trajet d’un utilisateur.
Depuis 2018, Strava offre à ses abonnés une option « heatmap » permettant de retracer les zones d’exercice les plus actives sur une carte. Un sportif pourra consulter les circuits où il se dépense le plus, mais peut aussi chercher d’autres trajets populaires puisque l’application prétend récupérer des données anonymement pour proposer des courses à ses utilisateurs.
Pour tester la sécurité de l’appli, les chercheurs ont commencé par analyser toutes les images pour détecter des zones de départ et d’arrêt dans des rues spécifiques dans trois États américains. Après avoir sélectionné des cartes thermiques, l’équipe d’experts a superposé des images du site OpenStreetMaps permettant d’identifier des adresses de résidence individuelles. Ils ont ensuite cherché des utilisateurs ayant enregistré une ville précise comme lieu de résidence. En comparant les points d’arrivée et les données personnelles d’un abonné à partir de la fonction de recherche, les chercheurs ont pu établir une corrélation entre l’activité élevée de la carte thermique et l’adresse du domicile des utilisateurs.
Une forte activité offre plus d’infos
En s’appuyant sur les informations enregistrées dans les listes électorales, les prédictions des chercheurs étaient justes dans environ 37,5 % des cas. Plus l’utilisateur était actif et plus les probabilités pour connaître son adresse et ses déplacements étaient hautes. Un sportif qui combine, par exemple, le cyclisme et la natation, offre encore plus de données à la plateforme.
Naturellement, si l’individu réside dans une zone à forte densité de population, cela rend sa géolocalisation plus compliquée. Les habitants de pavillons résidentiels rendent en revanche la tâche plus aisée, puisque les maisons permettent de rattacher un point de départ à un utilisateur.
Le taux de réussite de 37,5% est suffisamment haut pour poser un risque pour la sécurité d’une personne. La méthode employée par les chercheurs demande très peu de technique et un individu assez motivé pourra obtenir des infos précises sur une cible. Il est recommandé d’offrir le moins de données possibles aux applications.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
