Nous vous parlions il y a quelques mois de l’application de fitness Strava, qui permet d’enregistrer ses activités sportives mais surtout les tracés des parcours des courses à pied. On apprenait que cette application avait, en publiant une carte des trajets parcourus par ses utilisateurs, révélé l’emplacement de certaines bases militaires.
Aujourd’hui, c’est au tour de Polar Flow de révéler les positions mais aussi les identités des personnes travaillant dans des bases militaires, et surtout dans certains bâtiments des services secrets. Une enquête du site De Correspondent et de Bellingat nous explique en détail toute cette histoire.
À eux seuls et en partant de 200 zones sensibles, des journalistes ont pu identifier 6 460 utilisateurs de l’application travaillant à la DGSE à Paris, au GRU à Moscou, au GCHQ à Cheltenham mais aussi à la NSA, à la Maison Blanche, au MI6 et même au Camp de Guantánamo à Cuba.
« Non seulement il était possible de voir exactement où un utilisateur avait fait de l’exercice, mais il était facile de savoir exactement où il vivait, s’il commençait ou arrêtait le suivi via l’application dès qu’il quittait sa maison ».
Cette application est utilisée par les possesseurs de bracelets ou montres de la marque.
Un réel danger
Il s’agit ici de faits graves pouvant mettre en danger des employés et leur organisation censée être secrète, ou du moins protégée. Ce ne sont plus simplement les trajets des employés qui sont révélés, mais à partir de là aussi leurs noms et leurs adresses.
Traduisons simplement les dires des journalistes De Correspondent : « La carte de suivi des activités de l’application Polar nous permet de voir que de nombreuses courses de Tom [ndlr : nom donné au soldat néerlandais] commencent et se terminent près d’un groupe de maisons dans une petite ville du nord des Pays-Bas. Des petites recherches sur Google nous donnent son adresse exacte. On y trouve aussi les noms de sa femme et de ses enfants, ainsi que des photos. »
Notez que les organisations citées ci-dessus (DGSE, NSA, MI6, GRU…) ne sont pas les seules concernées : des employés de stockage nucléaire, des silos de missiles et des prisons ont également été repérés. Aussi, tout comme avec Strava, des employés travaillant sur des bases militaires étrangères font partie du lot.
Privé ou public ?
Dans l’application, il est possible de choisir si l’on veut partager ses parcours avec le reste des utilisateurs — via la section Explore — ou si l’on préfère garder tout ça pour nous, en optant pour le mode privé qui est activé par défaut.
Sauf que même avec cette option activée, il est possible de savoir où vit un utilisateur. C’est là que travailler pour des services secrets ou pour l’armée et utiliser l’application pour son footing matinal devient dangereux, pour l’employé mais aussi pour son organisation : en réalité, il est possible d’accéder à l’historique complet des activités d’un utilisateur simplement en modifiant une URL.
L’API utilisée par Polar peut en effet être exploitée pour retrouver et afficher toutes les sessions d’un utilisateur — course à pied et vélo. Il suffirait de deux paires de coordonnées proches d’un bâtiment sensible pour trouver les noms des employés qui utilisent l’application, et ce depuis 2014.
Suite à ces graves accusations, Polar a publié un communiqué sur son site. Dans ce dernier, on peut y lire les excuses de la marque, mais on y apprend surtout la suspension de la fameuse carte d’activité.
Il faut retenir une information importante de cette révélation : n’importe quel groupe ou personne aurait pu, et ce depuis quatre ans, noter les parcours et activités sportives de certains employés d’organisation gouvernementale — espions ou militaires — et ainsi en déduire leur adresse de domicile et leur identité.
Donc c'est bien un problème d'usage effectué par l'utilisateur et non d'entreprise, fail ou pas au niveau de la sécurité de la boite. Si tu as quelquechose à cacher, soit tu ne le fais pas, soit tu ne le mets pas en réseau.
aprés un test avec l'adresse de la DGSE, j'ai en effet trouvé le nom d'un agent sur strava, et la on parle bien d'une activité publique/partagé
la vrai question, leurs perfs, est ce qu'il sont capables de courir en faisant du parkour comme un james bond dans casino royale ou plutot la condition physique d'un OSS117
oui et donc en partant de ces adresses qui fait des sessions de sport au départ ou a l'arrivée de ces lieux
L'erreur elle est avant tout faite par l'employé qui fait sa boucle avec un GPS depuis l'agence , en ayant créé et un compte strava ou polar avec sa véritable identité de surcroit
Les deux et surtout l'utilisateur. c'est du bon sens. Allumer sa montre gps en quittant les locaux d'une agence , faire sa boucle et revenir au point de départ ce n'est pas ce qu'il y a de plus judicieux.. si en plus le compte créé comporte la véritable identité ..
Moi, y'a un truc que je n'ai toujours pas compris : comment ont-ils su que ces gens travaillaient dans les services secrets, juste avec la carte ? Ils savaient déjà où se situaient les bureaux du Mi6 ?
ce n'est pas l'utilisateur qui est en faute. c'est sa société. quand on est au MI6, au NSA ou autre, il est indispensable de mettre en place des outils, des procedures , afin qu'un employé qui fait du jogging autour d'un lieu secret ne fasse pas ce genre de boulette
C'est un excellent exemple de réponse à ceux qui disent "je n'ai rien à cacher". Là, ceux qui avaient à cacher ne sont pas des méchants, mais plutôt des gentils qui veulent se cacher des méchants (vocabulaire CE2, mais au moins tout le monde comprend). Le pb des données personnelles c'est que dès qu'elles existent, on ne peut plus les maîtriser à 100%. N'importe quelle organisation (privée, ou d'état) peut faire une erreur (c'est le cas ici), peut se faire hacker un jour (oin ne compte plus les exemples), n'importe quelle entreprise peut se faire racheter et partir à l'étranger etc. et ce qui nous paraît acceptable aujourd'hui ne le sera plus du jour au lendemain.
Relis mon commentaire je parle d'usage privé pas d'usage sur les lieux pro ou le réseau pro.
Dans mon entreprise, oui, seul les téléphones validés peuvent accéder au réseau interne. Tout accès cloud est désactivé, les sites internet sont restreints et on a des conditions d'utilisations strictes. Et pour Polar, ce n'est pas leur faute si des ..bip... partagent leur footing en mode public. Je crois que l'appli à un mode privé.
Personne oblige à mettre à son poignet un produit avec gps ou simplement connecté au gsm. Toutes les cartes Google Maps ou Plan d'Apple ont des régions en 3d qui peuvent aider les mauvaises personnes à préparer un attentat, un Hold-up, un kidnapping ou je ne sais quoi en choisissant l’itinéraire de fuite comme en vrai. C'est devenu débile ces plaintes. On peut aussi savoir l'endroit de ses déplacement en payant avec sa carte de crédit. Et les millions de caméras partout dans les aéroports, les parkings, les grandes surfaces etc ?
s'il le faut oui.je ne vois pas ou est le pb. sauf si on se fout de la securité, ce qui semble le cas.😂
C'est un peu l'arroseur-arrosé quand même.. Et c'est en ça que c'est bien fait pour eux. D'autant plus qu'ils sont bien plus avertis que la moyenne, à priori. Un lion prévenu, en vaut deux.. Après, comme avant, tu peux toujours faire de la désinformation, si tu te sais épié.. Et il n'y a rien à répondre aux idiots qui sont prêts à céder un peu de vie privé, pour un peu de sécurité. Ils ne méritent ni l'un ni l'autre et finissent par perdre les deux..
Ben pour des entreprises/organisation de ce genre (sécurité nationale/mondiale (Bon, on évitera de parler de certains présidents)) avec des niveaux de confidentialités de ce genre, tu es censé éteindre ton téléphone et ta montre en sortant de chez toi. Et d'allumer ton téléphone pro et ta montre pro avec laser et pistolet intégrés et inversement le soir en rentrant chez toi.
Toi, tu n'as pas lu l'article.
c'est tre tre secret surtout !
Pour les membres de la DGSE et nos "agents secrets" ? Bien sûr !
Et tu fournis le materiel pour l'usage privé de l'employé et de sa famille ?
C'est ballot
Cette histoire commence à dater. Ça sent les vacances. <br><i>-------<br><a href="https://play.google.com/store/apps/details?id=com.frandroid.app" rel="nofollow">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
ce qui est surtout incroyable et irresponsable , c'est que compte tenu de l'existance de ces professions, que ces entreprises strategiques n'aient pas mis en place des procedures, des listes de materiels homologués, testées, voir crypté pour leur personnel , compte tenu de l'enjeu. et ce n'est pas nouveau, les appareils connectés, et autres Gps existent de longue date. Polar comme les autres vends des produits de consommations, pas des modeles militarisés et/ou securisés.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix