Polar Flow, une application de fitness populaire qui suit les données d'activité sur des millions d'utilisateurs, a révélé par inadvertance les emplacements de ses utilisateurs, ce qui peut porter préjudice à des organisations si ces personnes font par exemple parti du personnel travaillant dans les bases militaires et les services de renseignement. L'application Polar Flow, créée par sa société éponyme Polar, un finlandais basé à New York, permet à quiconque d'accéder aux activités de fitness d'un utilisateur sur plusieurs années, en modifiant simplement son adresse Web.
Pour la plupart des utilisateurs qui mettent leurs enregistrements de suivi d'activité à la disposition du public, l'affichage de leurs entraînements sur la carte d'exploration de Polar est une fonctionnalité et non un problème de confidentialité. Mais même avec des profils définis sur privé, l'activité physique d'un utilisateur peut révéler où une personne vit.
Il s’agit là de la seconde fois cette année qu'une application de fitness suscite la controverse en révélant l'emplacement du personnel dans des installations dites sensibles. La première, Strava, a opté pour changer ses paramètres de confidentialité après que des communautés d’experts ont fait valoir le danger que représente l’exposition du personnel militaire ainsi que des bases secrètes.
L’identité du personnel militaire exposée au public
Mais Polar Flow va encore plus loin. En effet, dans le cas de Strava, l'existence de nombreuses installations gouvernementales ont pu être exposées. Dans le cas de Polar Flow, c’est l'identité des employés qui le serait.
En effet, d’après une enquête menée par les sites d'information néerlandais De Correspondent et Bellingcat, Polar Flow a exposé ses données de suivi de la condition physique. L'API développeur de la société peut être mal sollicitée pour récupérer des activités de fitness, comme chaque session de course et de cyclisme, sur n'importe quel utilisateur.
Avec deux paires de coordonnées placées au-dessus d'un lieu ou d'une installation gouvernementale sensible, il a été possible de trouver les noms des membres du personnel qui suivent leurs activités de conditionnement physique datant d'aussi loin que 2014.
Les journalistes ont identifié plus de 6 400 utilisateurs supposés s'exercer dans des lieux sensibles, notamment la NSA, la Maison Blanche, le MI6 à Londres et le centre de détention de Guantanamo Bay à Cuba, ainsi que du personnel travaillant sur des bases militaires étrangères.
Les noms des officiers et agents des services de renseignements étrangers, comme le GCHQ à Cheltenham, la DGSE à Paris et le GRU russe à Moscou, ont également été trouvés. Le personnel des installations de stockage nucléaire, des silos de missiles et des prisons a également été repéré.
Selon le quotidien, non seulement il était possible de voir exactement où un utilisateur s'était exercé, mais il était facile de déterminer exactement où vivait un utilisateur, s'il avait commencé ou arrêté son suivi de condition physique dès qu'il avait quitté sa maison.
En somme, en montrant toutes les sessions d'un individu combinées sur une seule carte, Polar révèle non seulement les fréquences cardiaques, les itinéraires, les dates, l'heure, la durée et le rythme des exercices effectués par les individus sur les sites militaires, mais indique également où peuvent être situés leurs domiciles.
Le suivi de toutes ces informations est très simple sur le site : il suffit par exemple de trouver une base militaire, sélectionner un exercice publié dessus pour identifier l’un des profils qui y figure et voir les autres endroits où l’utilisateur s’est entraîné. Comme les gens ont tendance à activer / désactiver leurs trackers de fitness lorsqu'ils quittent ou entrent dans leurs maisons, ils marquent leur maison sur la carte sans même le vouloir. Les utilisateurs se servent parfois de leurs noms complets dans leurs profils, accompagnés d'une photo de profil - même s'ils n'ont pas connecté leur profil Facebook à leur compte Polar.
Aucune limite au nombre de requêtes de l’API
Polar n'est pas la seule application à le faire, mais la différence avec d'autres plateformes de fitness populaires, telles que Strava ou Garmin, est que ces autres applications limitent souvent le nombre d'exercices pouvant être visualisés. Polar rend la situation bien pire en montrant tous les exercices d'un individu effectués depuis 2014, partout dans le monde sur une seule carte.
Par conséquent, il vous suffit de naviguer vers un site intéressant, de sélectionner l'un des profils qui s'y exercent et d'obtenir un historique complet de cet individu.
En quelques clics seulement, un officier de haut rang d'une base aérienne connue pour abriter des armes nucléaires peut être retrouvé en train de courir le matin dans l'enceinte du complexe. D'une maison pas trop loin de cette base, il a commencé et a fini beaucoup plus de courses tôt le dimanche matin. Son chemin préféré est à travers une forêt, mais parfois il commence et se termine à un parking plus loin. Le profil montre son nom complet.
Les activités normalement entourées de secret sont mises à nu avec des détails incroyables. Sur une base de l'armée de l'air américaine où des drones armés sont stationnés, un officier de renseignement peut être trouvé en train de faire de l'exercice. Encore une fois, son nom et sa photo de profil sont disponibles.
Polar suspend temporairement la carte d'activité
Mais vendredi, Polar a annoncé qu'il suspendait temporairement l'API Explore (carte d'activité), en raison des problèmes de confidentialité exposés dans les deux rapports.
La société a également précisé que l'application Polar Flow n'expose pas l'activité et le nom d'utilisateur par défaut. Selon Polar, ces informations sont partagées uniquement sur la base d'un système d'acceptation, et les données exposées via sa carte d'activité ont été volontairement partagées par certains de ses utilisateurs, la grande majorité des données utilisateur restant privées.
Polar a pris cette décision dans le but d'éviter de se trouver confronter aux fonctionnaires du monde entier comme cela a été le cas avec Strava. En effet, les développeurs de l’application Strava ont été appelés à témoigner devant un comité du Sénat au début de février concernant les paramètres de confidentialité de leur application et ont ensuite déployé des protections améliorées de la vie privée.
Mais contrairement à l'exposition Strava, l'incident Polar semble bien pire, principalement parce que l'application a divulgué des détails personnels qui pourraient désanonymiser les utilisateurs de Polar.
Sources : De Correspondent, Bellingcat, Polar
Voir aussi :
L'application de messages de Samsung enverrait des photos par erreur à des contacts, à cause d'un bogue dans sa dernière version Play Store : baisse brutale des installations de certaines applications Android, Google aurait modifié son algorithme de classement Tous les appareils Android depuis 2012 seraient menacés par RAMpage, une vulnérabilité qui permet d'accéder aux données d'autres applications Comment le RGPD est-il mis en application un mois après son entrée en vigueur ? Un tour d'horizon des solutions adoptées par les sites américains Play Store : Google annonce une mesure de sécurité qui s'apparenterait à un DRM introduit dans les applications Android 
Envoyé par Nikko78
