La confidentialité à l'épreuve d'Internet et des objets connectés

 
 

L’affaire a éclaté à la fin du mois de janvier. Strava, une application mobile permettant aux sportifs de suivre, analyser et partager leurs performances, s’est retrouvée au cœur d’une controverse liée à la géolocalisation de ses utilisateurs. Cette application propose une carte mondiale des parcours d’entrainement empruntés par ses utilisateurs à partir de bracelets connectés ; certains d’entre eux sont des militaires projetés en opérations extérieures. Le problème, c’est qu’un bon observateur peut facilement l’utiliser pour repérer des bases militaires, ce qu’a justement pointé un jeune expert en sécurité internationale sur Twitter. 

Application Strava : comment le sport exploite-t-il la data à l'ère du numérique ?


En janvier dernier, l’application de fitness Strava dévoile via Strava Lab une carte mondiale comportant les données GPS de ses 27 millions d’utilisateurs. Cette carte matérialise la densité de fréquentation de certaines zones, pays ou continents, prisées par les sportifs sous la forme d’une carte de chaleur. Si les données restent anonymes, l’outil compte parmi ses utilisateurs de nombreux militaires, ce qui a eu pour conséquence de dévoiler des positions de bases militaires. 

Les grandes villes mondiales apparaissent globalement en surbrillance ; inversement, les zones de conflits, bien que pauvres en informations, laissent deviner d’intenses activités sur des zones restreintes ; la révélation d’emplacements de bases militaires, notamment au Niger, Syrie, Irak. 

Si un grand nombre de sites concernés étaient déjà visibles, la carte de chaleur a permis de mettre en évidence l’activité humaine et sa fréquentation dans le monde. Pour utiliser cette application, en effet, il suffit de la télécharger sur son smartphone ou de s’y connecter via un bracelet fit ou autres bracelets connectés. Ce sont bien ces mêmes bracelets qui sont en cause, aujourd’hui ; effet collatéral imprévu, qui inquiète les militaires américains, qui en sont largement équipés à la faveur d’un programme de lutte contre l’obésité en novembre 2013. 

Menace pour le personnel militaire ? Cette carte a le mérite de relancer le débat sur la sécurité des informations que nous produisons quotidiennement et souligne le caractère sensible que peut avoir l’usage d’internet et des objets connectés par les personnels tenus au secret. 

Une pratique de plus en plus intrusive


C’est un fait, nous vivons aujourd’hui dans une société hyper-localisée et avons de plus en plus recours à des applications mobiles connectés : sport, santé, navigation, divertissement, les applications qui exploitent la géolocalisation ne manquent pas pour accompagner notre quotidien. Si la géolocalisation est généralement mis en avant pour nous apporter toujours plus de services et une plus grande interaction avec notre environnement, les données collectées représentent un enjeu majeur convoité par de nombreuses entreprises. Les spécialistes de la donnée promettent aux entreprises de cibler leurs clients potentiels en analysant leurs habitudes et leurs trajets. Ces dernières font part de toujours plus d’ingéniosité pour collecter cette précieuse ressource avec ou sans l’accord des utilisateurs, profitant parfois de flous juridiques sur la question. 

La collecte de donnée de localisation se banalise et se fait souvent à l’insu de l’utilisateur, par l’intermédiaire d’applications dont la géolocalisation n’est pas leur vocation, telles que les applications d’actualité, paiement, enseignes. Tout l’enjeu est donc de générer des revenus publicitaires grâce à l’exploitation des informations de localisation de leurs utilisateurs. Ainsi, la start-up française Teemo ou plus largement Google recueillent des données à l’insu de ses utilisateurs à des fins de ciblage marketing. 

La sécurité des utilisateurs en question 


L’anonymisation des données n’est ni une certitude, ni une garantie du respect de la vie privée ; il est également difficile d’affirmer que les données recueillies sont réellement protégées. 

Steve Loughran, un développeur britannique, a démontré qu’il était possible de désanonymiser les données postées sur l’application Strava et d’obtenir les noms et parcours des utilisateurs dans une même zone géographique. Dans le cas présent, c’est l’application Strava et non la carte de chaleur qui est mise en cause ; l’application permet de chronométrer et comparer les temps d’une course avec les autres utilisateurs. Il illustre sa méthode en s’appuyant sur l’exemple de la base navale sous-marine britannique de Faslane (Ecosse). 

Subséquemment à cette analyse, le quotidien The Guardian constate qu’il est possible de suivre les utilisateurs grâce à leur profil. Cette étude permet d’en déduire des informations sur le mode de vie et les affectations successives d’utilisateurs appartenant probablement à l’US Air Force, en opération sur la base de drone de Chabelley à Djibouti. 

Gage de transparence pour certains ou menace pour d’autres, la société de l’information hyperconnectée permet la divulgation et le partage d’informations à caractère sensible en un clic et une fraction de secondes à travers le monde. Les armées redoutent le partage d’informations pouvant compromettre la confidentialité de leurs actions. 

L’exploitation des médias sociaux ouvre de nombreuses perspectives mais implique également la mobilisation de ressources importantes pour qualifier et analyser les masses de données produites. Avec la facilité des réseaux sociaux, n’importe quel utilisateur – militaire ou civil  –  peut à tout moment, poster des informations de valeur, photos géotaggées ou vidéos sensibles et compromettre la sécurité de personnels en opération. 

Une sensibilisation accrue des utilisateurs


La vie numérique des personnels militaires et de leur famille est susceptible de remettre en cause leur propre sécurité. Ainsi, en opération, les traqueurs d’activité permettent d’obtenir des renseignements sur d’éventuelles tactiques miliaires, des déplacements réguliers à l’extérieur de leur base, par exemple, exploitables par leur ennemi. 

L’usage de la géolocalisation, des smartphone et objets connectés est tellement ancré dans la société actuelle qu’il est presque impossible de l’interdire. La solution semble donc de sensibiliser les utilisateurs sur les risques encourus et sur le fonctionnement de tels outils. Ainsi, l’affaire Strava s’est suivi par des rappels sur les précautions d’usage et comportement à adopter à l’intention des personnels travaillant dans les milieux sensibles. 

Depuis 2016, la marine américaine a adopté des politiques claires sur l’utilisation des appareils de fitness personnels portables. Ces appareils sont interdits s’ils contiennent des capacités cellulaires ou wifi, photographies, de capture/ enregistrement vidéo, de microphone ou enregistrement audio. Il est mention que la simple désactivation de la capacité cellulaire, caméra ou vidéo n’est pas suffisante. Tout appareil qui ne contient pas ces caractéristiques peut être utilisé sur les bases de la marine – ce qui inclus les appareils dotés d’une connectivité Bluetooth ou fonction de suivi GPS. Ces fonctionnalités permettent donc à des applications telles que Strava d’être utilisées. 

Les objets connectés représentent-ils une menace ?  


Peu sécurisés et souvent vulnérables, les objets connectés ont été pointés du doigt à de nombreuses reprises par les experts en cybersécurité. Les objets connectés sont la plupart du temps conçus sans possibilité de mise à jour du système d’exploitation, ce qui empêche de combler les failles de sécurité même lorsque celle-ci sont détectées. 

A l’heure où l’utilisation des objets connectés est envisagée par de nombreuses armées du monde – on parle d’Internet of Battlefield Things – une vraie réflexion s’impose sur la sécurité et les informations sensibles des forces armées. 

 

Céline Vonesch