Comment les applications de fitness divulguent des secrets militaires

La piste invisible

Chaque fois qu'un soldat lace ses chaussures de course et appuie sur « démarrer » sur une application de fitness, une traînée de miettes de pain GPS commence à s'enregistrer. Pour la plupart des utilisateurs, les données sont inoffensives : un enregistrement des joggings matinaux et des randonnées à vélo du week-end. Mais pour le personnel militaire, les agents de renseignement et les équipes de sécurité, ces mêmes données peuvent trahir l'emplacement de bases secrètes, de porte-avions nucléaires et de dirigeants mondiaux.

Le problème n'est pas nouveau. Depuis au moins 2018, les plateformes de suivi d'activité physique, notamment Strava, sont au centre d'échecs répétés de sécurité opérationnelle (OPSEC) qui ont exposé certaines des informations militaires les plus sensibles au monde à toute personne disposant d'une connexion Internet.

Comment les données de localisation deviennent du renseignement

Les applications de fitness fonctionnent en enregistrant les coordonnées GPS d'un utilisateur à intervalles fréquents pendant l'exercice. Lorsque les utilisateurs publient leurs entraînements publiquement, n'importe qui peut consulter l'itinéraire, l'horodatage et l'emplacement. En soi, un simple jogging peut sembler insignifiant. Mais les analystes du renseignement utilisent une technique appelée analyse des habitudes de vie : agréger de nombreux points de données au fil du temps pour cartographier les routines, identifier les installations et même prédire les mouvements futurs.

La carte de chaleur mondiale de Strava, une visualisation de milliards de points de données GPS provenant de ses utilisateurs, rend cela encore plus facile. La carte de chaleur brille intensément partout où de nombreuses personnes font de l'exercice et s'estompe dans les zones reculées. En 2018, le chercheur australien Nathan Ruser a remarqué des chemins de jogging brillants au milieu des déserts syrien et afghan, traçant les périmètres exacts et les itinéraires de patrouille de bases militaires américaines et alliées non divulguées.

Une série de violations

L'incident de la carte de chaleur de 2018 n'était que le début. Des enquêtes ultérieures ont révélé une tendance alarmante :

• 2018 : La carte de chaleur de Strava a exposé des bases militaires américaines en Afghanistan, en Syrie, en Irak et même une installation présumée de la CIA en Somalie. Le Pentagone a lancé un examen immédiat.
• 2018 : Des chercheurs ont découvert que l'application de fitness Polar pouvait identifier les noms et les adresses personnelles du personnel de la baie de Guantánamo, des bases de drones et des installations de stockage d'armes nucléaires, comme l'a rapporté Bellingcat.
• 2022 : L'ONG israélienne FakeReporter a découvert une violation de Strava qui a identifié 100 personnes dans six installations militaires israéliennes top secrètes.
• 2024 : L'enquête #StravaLeaks du Monde a identifié 26 agents des services secrets américains, 12 membres du personnel de sécurité français et 6 agents russes à partir de leurs profils Strava publics, localisant les emplacements des présidents Biden et Trump, et même l'hôtel où Biden a séjourné avant une réunion avec Xi Jinping, le président chinois.

Pourquoi cela continue de se produire

Après le scandale de 2018, le département américain de la Défense a interdit les appareils compatibles avec la géolocalisation pour les troupes déployées. Les militaires peuvent transporter des traqueurs d'activité physique, mais doivent désactiver les fonctions GPS dans les zones opérationnelles. D'autres alliés de l'OTAN ont publié des directives similaires.

Pourtant, les violations se poursuivent pour plusieurs raisons. Premièrement, les politiques sont difficiles à appliquer lorsque des appareils personnels sont impliqués. Les services secrets américains ont déclaré au Monde qu'ils ne pouvaient pas interdire l'utilisation des médias sociaux par les agents en dehors de leurs heures de service. Deuxièmement, de nombreux utilisateurs ne réalisent tout simplement pas que leurs profils sont publics par défaut. Troisièmement, la culture du partage des réalisations en matière de condition physique sur les plateformes sociales crée une tentation constante de contourner les protocoles de sécurité.

Le renseignement open source en pilote automatique

Ce qui rend les fuites d'applications de fitness particulièrement dangereuses, c'est qu'elles ne nécessitent aucun piratage. Toutes les données sont téléchargées volontairement et sont visibles publiquement. Les professionnels du renseignement appellent cela le renseignement open source (OSINT) : des informations recueillies à partir de sources librement disponibles. Un acteur hostile n'a qu'à parcourir Strava, à croiser les noms d'utilisateur avec les profils LinkedIn ou les registres publics, et à dresser un tableau détaillé des mouvements militaires.

La technique s'adapte facilement. Des scripts automatisés peuvent extraire des milliers de profils, cartographier les regroupements d'activités à proximité d'installations militaires connues et signaler les anomalies, comme une poussée d'activité de course apparaissant dans une étendue d'océan vide, ce qui est exactement la façon dont les journalistes en 2026 ont confirmé la position du porte-avions nucléaire français Charles de Gaulle en Méditerranée après qu'un marin a enregistré une course de 7 kilomètres sur le pont sur Strava.

Ce que les utilisateurs peuvent faire

Les experts en sécurité recommandent plusieurs mesures pour toute personne occupant un rôle sensible : définir tous les profils de fitness sur privé, désactiver l'enregistrement GPS pendant le travail, utiliser les zones de confidentialité intégrées de Strava pour masquer les points de départ et d'arrivée, et éviter de partager les données d'entraînement sur toute plateforme publique. Pour les organisations militaires, la leçon est claire : la technologie grand public et la sécurité opérationnelle sont en tension permanente, et aucune note de politique ne peut remplacer la sensibilisation individuelle.