Polar Flow, une application de fitness, expose par inadvertance les maisons des agents de renseignements
Et du personnel militaire

Le , par Stéphane le calme, Chroniqueur Actualités
Polar Flow, une application de fitness populaire qui suit les données d'activité sur des millions d'utilisateurs, a révélé par inadvertance les emplacements de ses utilisateurs, ce qui peut porter préjudice à des organisations si ces personnes font par exemple parti du personnel travaillant dans les bases militaires et les services de renseignement.

L'application Polar Flow, créée par sa société éponyme Polar, un finlandais basé à New York, permet à quiconque d'accéder aux activités de fitness d'un utilisateur sur plusieurs années, en modifiant simplement son adresse Web.

Pour la plupart des utilisateurs qui mettent leurs enregistrements de suivi d'activité à la disposition du public, l'affichage de leurs entraînements sur la carte d'exploration de Polar est une fonctionnalité et non un problème de confidentialité. Mais même avec des profils définis sur privé, l'activité physique d'un utilisateur peut révéler où une personne vit.

Il s’agit là de la seconde fois cette année qu'une application de fitness suscite la controverse en révélant l'emplacement du personnel dans des installations dites sensibles. La première, Strava, a opté pour changer ses paramètres de confidentialité après que des communautés d’experts ont fait valoir le danger que représente l’exposition du personnel militaire ainsi que des bases secrètes.


L’identité du personnel militaire exposée au public

Mais Polar Flow va encore plus loin. En effet, dans le cas de Strava, l'existence de nombreuses installations gouvernementales ont pu être exposées. Dans le cas de Polar Flow, c’est l'identité des employés qui le serait.

En effet, d’après une enquête menée par les sites d'information néerlandais De Correspondent et Bellingcat, Polar Flow a exposé ses données de suivi de la condition physique. L'API développeur de la société peut être mal sollicitée pour récupérer des activités de fitness, comme chaque session de course et de cyclisme, sur n'importe quel utilisateur.

Avec deux paires de coordonnées placées au-dessus d'un lieu ou d'une installation gouvernementale sensible, il a été possible de trouver les noms des membres du personnel qui suivent leurs activités de conditionnement physique datant d'aussi loin que 2014.

Les journalistes ont identifié plus de 6 400 utilisateurs supposés s'exercer dans des lieux sensibles, notamment la NSA, la Maison Blanche, le MI6 à Londres et le centre de détention de Guantanamo Bay à Cuba, ainsi que du personnel travaillant sur des bases militaires étrangères.

Les noms des officiers et agents des services de renseignements étrangers, comme le GCHQ à Cheltenham, la DGSE à Paris et le GRU russe à Moscou, ont également été trouvés. Le personnel des installations de stockage nucléaire, des silos de missiles et des prisons a également été repéré.


Selon le quotidien, non seulement il était possible de voir exactement où un utilisateur s'était exercé, mais il était facile de déterminer exactement où vivait un utilisateur, s'il avait commencé ou arrêté son suivi de condition physique dès qu'il avait quitté sa maison.

En somme, en montrant toutes les sessions d'un individu combinées sur une seule carte, Polar révèle non seulement les fréquences cardiaques, les itinéraires, les dates, l'heure, la durée et le rythme des exercices effectués par les individus sur les sites militaires, mais indique également où peuvent être situés leurs domiciles.

Le suivi de toutes ces informations est très simple sur le site : il suffit par exemple de trouver une base militaire, sélectionner un exercice publié dessus pour identifier l’un des profils qui y figure et voir les autres endroits où l’utilisateur s’est entraîné. Comme les gens ont tendance à activer / désactiver leurs trackers de fitness lorsqu'ils quittent ou entrent dans leurs maisons, ils marquent leur maison sur la carte sans même le vouloir. Les utilisateurs se servent parfois de leurs noms complets dans leurs profils, accompagnés d'une photo de profil - même s'ils n'ont pas connecté leur profil Facebook à leur compte Polar.

Aucune limite au nombre de requêtes de l’API

Polar n'est pas la seule application à le faire, mais la différence avec d'autres plateformes de fitness populaires, telles que Strava ou Garmin, est que ces autres applications limitent souvent le nombre d'exercices pouvant être visualisés. Polar rend la situation bien pire en montrant tous les exercices d'un individu effectués depuis 2014, partout dans le monde sur une seule carte.

Par conséquent, il vous suffit de naviguer vers un site intéressant, de sélectionner l'un des profils qui s'y exercent et d'obtenir un historique complet de cet individu.

En quelques clics seulement, un officier de haut rang d'une base aérienne connue pour abriter des armes nucléaires peut être retrouvé en train de courir le matin dans l'enceinte du complexe. D'une maison pas trop loin de cette base, il a commencé et a fini beaucoup plus de courses tôt le dimanche matin. Son chemin préféré est à travers une forêt, mais parfois il commence et se termine à un parking plus loin. Le profil montre son nom complet.

Les activités normalement entourées de secret sont mises à nu avec des détails incroyables. Sur une base de l'armée de l'air américaine où des drones armés sont stationnés, un officier de renseignement peut être trouvé en train de faire de l'exercice. Encore une fois, son nom et sa photo de profil sont disponibles.


Polar suspend temporairement la carte d'activité

Mais vendredi, Polar a annoncé qu'il suspendait temporairement l'API Explore (carte d'activité), en raison des problèmes de confidentialité exposés dans les deux rapports.

La société a également précisé que l'application Polar Flow n'expose pas l'activité et le nom d'utilisateur par défaut. Selon Polar, ces informations sont partagées uniquement sur la base d'un système d'acceptation, et les données exposées via sa carte d'activité ont été volontairement partagées par certains de ses utilisateurs, la grande majorité des données utilisateur restant privées.

Polar a pris cette décision dans le but d'éviter de se trouver confronter aux fonctionnaires du monde entier comme cela a été le cas avec Strava. En effet, les développeurs de l’application Strava ont été appelés à témoigner devant un comité du Sénat au début de février concernant les paramètres de confidentialité de leur application et ont ensuite déployé des protections améliorées de la vie privée.

Mais contrairement à l'exposition Strava, l'incident Polar semble bien pire, principalement parce que l'application a divulgué des détails personnels qui pourraient désanonymiser les utilisateurs de Polar.

Sources : De Correspondent, Bellingcat, Polar

Voir aussi :

L'application de messages de Samsung enverrait des photos par erreur à des contacts, à cause d'un bogue dans sa dernière version
Play Store : baisse brutale des installations de certaines applications Android, Google aurait modifié son algorithme de classement
Tous les appareils Android depuis 2012 seraient menacés par RAMpage, une vulnérabilité qui permet d'accéder aux données d'autres applications
Comment le RGPD est-il mis en application un mois après son entrée en vigueur ? Un tour d'horizon des solutions adoptées par les sites américains
Play Store : Google annonce une mesure de sécurité qui s'apparenterait à un DRM introduit dans les applications Android


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de marsupial marsupial - Membre émérite https://www.developpez.com
le 09/07/2018 à 19:27
Alors ça c'est chaud et du pain béni pour toutes les agences de renseignement. Je regarde vers l'Asie qui ne fait pas dans le fitness... :aïe:
Avatar de Aiekick Aiekick - Membre chevronné https://www.developpez.com
le 10/07/2018 à 2:59
pourquoi dans les installation militaires secrètes ils ne brouilles pas les ondes radio pour les smartphone ?
Avatar de Nikko78 Nikko78 - Membre à l'essai https://www.developpez.com
le 10/07/2018 à 10:15
J'utilise Polar, et quand cette fonctionnalité est apparu (la carte des itinéraires) j'ai bien vérifié que je n'y apparaissais pas (mon profile est privé).

La réponse de Polar laisse penser que seul les profils public sont concernés, faut-il comprendre que les militaires et agents secrets ne comprennent toujours pas la nécessité de protéger leurs identités ? C'est inquiétant venant de personnes que l'on peu légitimement penser sensible à ces problématiques de sécurité.
Avatar de ddoumeche ddoumeche - Membre chevronné https://www.developpez.com
le 10/07/2018 à 12:37
Citation Envoyé par Nikko78 Voir le message
J'utilise Polar, et quand cette fonctionnalité est apparu (la carte des itinéraires) j'ai bien vérifié que je n'y apparaissais pas (mon profile est privé).

La réponse de Polar laisse penser que seul les profils public sont concernés, faut-il comprendre que les militaires et agents secrets ne comprennent toujours pas la nécessité de protéger leurs identités ? C'est inquiétant venant de personnes que l'on peu légitimement penser sensible à ces problématiques de sécurité.
J'ai travaillé dans une société de géolocalisation et je peux te garantir que profil privé ou pas, la société a quand même ton identité et ton positionnement en temps réel. Et nous avions énormément de soucis avec la confidentialité.
On ne montre évidement pas ton positionnement via une interface publique, mais cela ne garanti nullement la sécurité de tes données, que ce soit par un bug fonctionnel, piratage ou même malveillance.

D'où la nécessité de revenir une interdiction des smartphones et applications non homologués par une autorité régulatrice, au moins pour les personnalités à "risques" : militaires, gendarmes, policiers, hommes politiques, chef d'entreprise.
Avatar de CoderInTheDark CoderInTheDark - Membre éprouvé https://www.developpez.com
le 10/07/2018 à 16:13
C'est en grande partie la faute des utilisateurs.
Ils devraient savoir que dans le renseignement toutes sources est bonne à prendre
Si on sait que une personne important fait toujours le même chemin, on peut lui tendre un piège facilement

C'est aussi valable pour les femmes, qui peuvent se retrouver à la merci des prédateur sexuels.

*C'est la même histoire que la dernière fois
Ils on n'a qu'a interdire les applications de ce type sur les sites sensibles

Ils s'exposent par vanité, regardez comme je suis costaud
Contacter le responsable de la rubrique Accueil