DGSE, MI6, NSA : une application fitness trahit l’identité de militaires et d’espions

 
Des journalistes ont pu identifier pas moins de 6 460 utilisateurs de Polar Flow, une application de fitness, alors qu’ils n’avaient pas activé l’option de partage des sessions sportives. Ces 6 460 personnes travaillent à la NSA, à la DGSE, à la Maison Blanche, au MI6, au GRU, au Camp de Guantánamo… Polar a présenté ses excuses et suspend la carte d’activité concernée.
MI6 Londres – Crédit image : De Correspondent

Nous vous parlions il y a quelques mois de l’application de fitness Strava, qui permet d’enregistrer ses activités sportives mais surtout les tracés des parcours des courses à pied. On apprenait que cette application avait, en publiant une carte des trajets parcourus par ses utilisateurs, révélé l’emplacement de certaines bases militaires.

Aujourd’hui, c’est au tour de Polar Flow de révéler les positions mais aussi les identités des personnes travaillant dans des bases militaires, et surtout dans certains bâtiments des services secrets. Une enquête du site De Correspondent et de Bellingat nous explique en détail toute cette histoire.

À eux seuls et en partant de 200 zones sensibles, des journalistes ont pu identifier 6 460 utilisateurs de l’application travaillant à la DGSE à Paris, au GRU à Moscou, au GCHQ à Cheltenham mais aussi à la NSA, à la Maison Blanche, au MI6 et même au Camp de Guantánamo à Cuba.

Camp de Guantánamo – Crédit image : De Correspondent

« Non seulement il était possible de voir exactement où un utilisateur avait fait de l’exercice, mais il était facile de savoir exactement où il vivait, s’il commençait ou arrêtait le suivi via l’application dès qu’il quittait sa maison ».

Cette application est utilisée par les possesseurs de bracelets ou montres de la marque.

Un réel danger

Il s’agit ici de faits graves pouvant mettre en danger des employés et leur organisation censée être secrète, ou du moins protégée. Ce ne sont plus simplement les trajets des employés qui sont révélés, mais à partir de là aussi leurs noms et leurs adresses.

Traduisons simplement les dires des journalistes De Correspondent : « La carte de suivi des activités de l’application Polar nous permet de voir que de nombreuses courses de Tom [ndlr : nom donné au soldat néerlandais] commencent et se terminent près d’un groupe de maisons dans une petite ville du nord des Pays-Bas. Des petites recherches sur Google nous donnent son adresse exacte. On y trouve aussi les noms de sa femme et de ses enfants, ainsi que des photos. »

Aérodrome de Bagram, Afghanistan – Crédit image : De Correspondent

Notez que les organisations citées ci-dessus (DGSE, NSA, MI6, GRU…) ne sont pas les seules concernées : des employés de stockage nucléaire, des silos de missiles et des prisons ont également été repérés. Aussi, tout comme avec Strava, des employés travaillant sur des bases militaires étrangères font partie du lot.

Privé ou public ?

Dans l’application, il est possible de choisir si l’on veut partager ses parcours avec le reste des utilisateurs — via la section Explore — ou si l’on préfère garder tout ça pour nous, en optant pour le mode privé qui est activé par défaut.

Sauf que même avec cette option activée, il est possible de savoir où vit un utilisateur. C’est là que travailler pour des services secrets ou pour l’armée et utiliser l’application pour son footing matinal devient dangereux, pour l’employé mais aussi pour son organisation : en réalité, il est possible d’accéder à l’historique complet des activités d’un utilisateur simplement en modifiant une URL.

L’API utilisée par Polar peut en effet être exploitée pour retrouver et afficher toutes les sessions d’un utilisateur — course à pied et vélo. Il suffirait de deux paires de coordonnées proches d’un bâtiment sensible pour trouver les noms des employés qui utilisent l’application, et ce depuis 2014.

DGSE, Paris – Crédit image : De Correspondent

Suite à ces graves accusations, Polar a publié un communiqué sur son site. Dans ce dernier, on peut y lire les excuses de la marque, mais on y apprend surtout la suspension de la fameuse carte d’activité.

Il faut retenir une information importante de cette révélation : n’importe quel groupe ou personne aurait pu, et ce depuis quatre ans, noter les parcours et activités sportives de certains employés d’organisation gouvernementale — espions ou militaires — et ainsi en déduire leur adresse de domicile et leur identité.


Notre émission Twitch SURVOLTÉS, c’est un mercredi sur deux de 17h à 19h : retrouvez-vous nous pour parler voiture électrique ou vélo électrique, autour de débats, d’interviews, d’analyses et de jeux !

Les derniers articles