Quelques mois après Strava, une autre application sportive gélocalisée fait parler d’elle. Par l’intermédiaire d’une carte, Polar Flow renseigne sur les itinéraires de ses membres, dont certains s’entraînent visiblement à proximité de bases militaires.

Polar Flow, l’application de fitness développée par la société finlandaise éponyme Polar, a révélé par erreur la localisation de plusieurs de ses membres. Le 8 juillet 2018, nos confrères de Bellingcat et De Correspondent ont publié leur enquête commune, dans laquelle ils expliquent que des usagers concernés travaillent dans des bases militaires et des services de renseignement.

L’entreprise, dont le siège social est situé à Kempele en Finlande, commercialise des cardios destinés à la pratique de la course et du fitness. L’application mise en cause est celle qui accompagne le matériel connecté vendu par Polar.

En cause, une carte publique

De Correspondent explique que la carte Explore, créée par Polar pour regrouper les itinéraires que ses membres rendent publics, affiche tous les itinéraires enregistrés depuis 2014. Une simple recherche permet à quiconque d’accéder à des données sur l’activité des utilisateurs et utilisatrices de l’app.

L’interface de programmation (API) développée par Polar est mise en cause, car elle peut être détournée pour récupérer des informations sur les sessions sportives des utilisateurs de l’app. Au total, les deux médias à l’origine de l’enquête expliquent avoir trouvé les données de 6 460 personnes, de 69 nationalités différentes.

6 460 utilisateurs de l’app retrouvés via Explore

Nos confrères expliquent avoir réussi à retracer les différents itinéraires de plusieurs membres de l’app. En zoomant sur la carte, ils ont pu sélectionner l’une des données enregistrées par un membre de Polar, avant d’effectuer ensuite un zoom arrière sur la carte. L’ensemble des entraînements enregistrés dans l’app par cette personne devenait alors visible sur la carte. En cherchant des points proches, il devenait alors possible de deviner où habitait le sportif ou la sportive concerné(e).

D’autant plus que, sur les 6 460 personnes qui se sont entraînées à proximité d’une zone sensible, le média note que 90 % d’entre elles avaient renseigné un nom et une ville sur le profil : retrouver leur adresse exacte devenait alors bien plus aisé.

Un itinéraire proche de la DGSE, à Paris. Capture d'écran De Correspondent

Un itinéraire proche de la DGSE, à Paris. Capture d’écran via ZDNet / De Correspondent

Parmi les utilisateurs identifiés se trouvent des personnes travaillant manifestement autour de lieux sensibles comme la NSA, la Maison-Blanche, le MI6 (à Londres) ou le centre de détention de Guantánamo. En France, l’enquête a montré qu’il est possible de connaître le trajet d’une personne probablement employée par la Direction générale de la Sécurité extérieure (DGSE).

« Pas de violation des données privées »

Les personnes qui utilisent Polar Flow peuvent choisir de rendre public l’affichage de leurs activités sur la carte. Or, l’enquête menée par nos confrères indique qu’il est possible de deviner où vit une personne à partir de son activité. On comprend, dès lors, pourquoi l’information peut s’avérer sensible si elle concerne un usager qui travaille dans un lieu censé rester secret.

Le 6 juillet 2018, Polar a diffusé un communiqué pour s’en défendre : « Il est important de comprendre que Polar n’a divulgué aucune donnée et qu’il n’y a pas eu de violation des données privées. Actuellement, la grande majorité des clients de Polar gèrent leurs profils en privé par défaut, et ne sont pas concernés. »

La carte n’est plus accessible

Polar ajoute que sa carte n’est plus accessible : « Bien que la décision d’accepter de partager ses sessions d’entraînement et les données de localisation GPS relève du choix et de la responsabilité des clients, nous sommes conscients que des emplacements potentiellement sensibles apparaissent dans les données publiques, et nous avons pris la décision de suspendre temporairement l’API Explore. »

Une situation similaire s’est produite en janvier dernier. Une autre application sportive, Strava, a risqué de trahir l’emplacement de bases militaires secrètes en affichant sur une carte publique le tracé des excursions de ses membres. L’app a pu être critiquée sur le fait qu’elle ne donnait pas de directives claires à ses usagers pour qu’ils sachent comment désactiver le partage de leurs données. Cette problématique liée à la géolocalisation avait alors été prise au sérieux par l’armée française.

Nouveauté : Découvrez

La meilleure expérience de Numerama, sans publicité,
+ riche, + zen, + exclusive.

Découvrez Numerama+

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !