La compagnie Strava offre un système de réseau social pour sportifs qui permet d’enregistrer et de partager leurs activités sportives. Il est possible de synchroniser son smartphone, fitbit, etc. avec leur système pour le stocker sur le cloud et le partager avec la communauté.
En novembre dernier, Strava a publié une map du monde avec toutes les activités de leur membre incluant plus de 3 milliards coordonnée GPS.

Problème:

Ces coordonnées trahissent malheureusement des secrets d’État. En effet, la map publiée par Strava donne une granularité suffisante permettant de reconnaitre des formes de bâtiment et suivre des utilisateurs. Des chercheurs ont notamment réussi à localiser des bases militaires américaines secrètes, « des sites noirs » (black sites), les routes de patrouilles, etc.
Hormis cette information qui est rendue publique, la compagnie Strava (et tout hackeur/gouvernement) qui peut rentrer dans sa base de données peut lier ces informations de positions à la personne réelle (ils ont sa carte de crédit, email, etc.) mais aussi à sa maison (endroit où l’utilisateur fait son jogging du matin), etc.

Leçons à en tirer :

La configuration par défaut du système inclut le partage public des informations uploadées. Comme nous le savons et voyons trop souvent, les utilisateurs ne prennent pas le temps de changer la configuration par défaut qui dans beaucoup de cas ne leur offre ni la meilleure sécurité ni la meilleure protection de la vie privée.
Le partage d’information avec des plateformes cloud peuvent très souvent paraitre anodine, mais dans les mains de quelqu’un mal intentionné devenir nuisible. Des données qui semblent anonymisées peuvent quand même dévoiler des informations très personnelles et nous devons simplement partir du principe que toute information que nous partageons puisse être utilisée pour ou contre nous…

Si vous souhaitez plus d’information et des explications complémentaires sur l’incident, les conséquences, et les leçons à apprendre, n’hésitez pas à me contacter.

#MakeSwissCyberSafe

Steven Meyer
Partner & CEO
Ing. EPFL, CISSP

ZENData Sarl: https://zendata.ch/fr/