Un entraînement Strava révèle la position du porte-avions Charles de Gaulle
Un membre d'équipage du porte-avions français Charles de Gaulle a enregistré une course dans l'app Strava avec la géolocalisation activée, permettant de repérer publiquement la position exacte du navire en mer Méditerranée. L'incident s'est produit le 13 mars au nord-ouest de Chypre, à environ 100 km des côtes turques. Les données sont devenues accessibles à tous les utilisateurs en raison du profil ouvert.
Comment Strava divulgue des secrets militaires
Strava agrège les données de suivi GPS provenant de montres connectées et de smartphones, créant des cartes de chaleur des activités. Les militaires utilisent souvent l'app pour le fitness, mais les journaux publics révèlent non seulement les itinéraires personnels, mais aussi les infrastructures de bases, les convois et les navires.
Dans ce cas, une course de 35 minutes le long du pont du porte-avions a produit une trace claire correspondant au contour du navire. Le profil sous le pseudonyme « Arthur » était public, rendant les coordonnées disponibles pour analyse par quiconque. Le Monde a noté que si la présence du Charles de Gaulle dans la région n'était pas un secret, les coordonnées précises posent des risques pour les opérations d'escorte et la logistique.
Risques pour la sécurité opérationnelle à l'ère des traceurs de fitness
La sécurité opérationnelle (OPSEC) des militaires est menacée par les apps grand public. Strava enregistre non seulement les courses terrestres, mais aussi celles en mer — sur les ponts de navires ou près des bases.
- Cartes de chaleur des bases : En 2018, une analyse Strava a exposé des installations secrètes des États-Unis en Afghanistan et en Syrie.
- Traces en mer : Les courses sur les porte-avions dessinent les formes des navires, y compris les hangars et les ponts d'envol.
- Activités de groupe : Les équipages créent des grappes d'activités qui révèlent les tailles des groupes.
- Horodatages : La synchronisation avec les calendriers de manœuvres amplifie les vulnérabilités.
Le ministère des Armées français a confirmé la violation : un profil Strava public va à l'encontre des instructions. Le commandement prendra des mesures, y compris disciplinaires.
Recommandations pour minimiser les risques
Les développeurs et spécialistes en cybersécurité peuvent étudier ces incidents pour concevoir des outils de surveillance.
- Confidentialité du profil : Réglez la visibilité sur « privé » ou « amis uniquement ».
- Désactiver la géolocalisation : Bloquez le GPS pendant le service ou aux abords des installations.
- Politiques d'entreprise : Intégrez avec des systèmes de gestion des appareils mobiles pour contrôler les apps sur les appareils.
- Analyse OSINT : Scannez régulièrement Strava à la recherche de fuites via API ou scraping.
- Alternatives : Utilisez des traceurs hors ligne sans synchronisation cloud.
En entreprise, des risques similaires proviennent des données de fitness des employés : les politiques RH doivent couvrir les règles pour les appareils personnels.
Enseignements clés
- Trace précise : Une course de 35 minutes a exposé les coordonnées du porte-avions à 100 km de la Turquie.
- Profil public : L'accès ouvert sur Strava a rendu les données publiques.
- Violation OPSEC : Le ministère des Armées de France a reconnu l'incident et promet des mesures.
- Contexte plus large : Les fuites Strava ont précédemment compromis des bases des États-Unis et de l'OTAN.
— Editorial Team
Aucun commentaire pour le moment.