Polar Flow, une application de Fitness a compromis les noms et les adresses de soldats et d’espions

Pour la deuxième fois cette année, une application de est à blâmer pour avoir révélé l’emplacement des personnes travaillant dans les bases militaires, les agences de renseignement et d’autres sites sensibles ainsi que pour localiser les logements de ces utilisateurs. L’application de Polar Flow permet aux utilisateurs de partager les emplacements GPS de l’endroit qu’ils explorent en faisant leurs exercices. C’est censé être une fonctionnalité et non un défaut. Pourtant, on peut utiliser l’API pour révéler les activités de fitness des utilisateurs, leurs emplacements, leurs maisons, car c’est ce que les gens font en activant ce type de d’application depuis leur maison et des analyses supplémentaires révéleraient même les noms des utilisateurs.

Depuis 2014, affiche une carte des activités de leurs utilisateurs. Et selon une enquête de Bellingcat et De Correspondent, cette carte peut également être utilisée pour permettre à quiconque de trouver les noms et adresses des militaires et des services de renseignement ainsi que le personnel de l’agence, mais également le nom et l’adresse du personnel des installations de stockage nucléaire, des prisons à sécurité maximale, des aéroports militaires où sont stockées les armes nucléaires et des bases de drones.

De Correspondent a montré comment une simple recherche a permis aux journalistes de trouver 6 460 utilisateurs qui ont suivi leurs activités sportives sur ou à proximité d’endroits sensibles jusqu’à 2014. Parmi ces utilisateurs, près de 90 % citent un nom et une ville sur leur profil page, ce qui facilite grandement la recherche de leur adresse personnelle.

Bellingcat a rapporté:

En montrant toutes les sessions d’un individu combinées sur une seule carte, Polar révèle non seulement les fréquences cardiaques, les itinéraires, les dates, l’heure, la durée et le rythme des exercices effectués par les individus sur les sites militaires, mais révèle également les mêmes informations sur leurs maisons. Le suivi de toutes ces informations est très simple à travers le site: trouver une base militaire, sélectionner un exercice publié, pour identifier le profil ci-joint et voir les autres zones d’exercice de cette personne. Comme les gens ont tendance à activer/désactiver leurs trackers de fitness lorsqu’ils quittent ou entrent dans leurs maisons, ils marquent leur maison sur la carte sans le vouloir. Les utilisateurs utilisent souvent leurs noms complets dans leurs profils, accompagnés d’une photo de profil – même s’ils n’ont pas connecté leur profil Facebook à leur compte Polar.

Les journalistes ont profité d’un oubli dans l’application Polar pour révéler les noms et adresses des internautes ayant choisi de laisser leur profil en privé. Bellingcat a expliqué que ses reporters trouvaient les noms et adresses du personnel des agences de renseignement, y compris la NSA, et les services secrets aux Etats-Unis, le GCHQ et le MI6 au Royaume-Uni, le GRU et le SVR RF en Russie, la DGSE en France et le MIVD aux Pays-Bas. Nous avons trouvé les noms et adresses du personnel des bases militaires, notamment à Guantánamo Bay à Cuba, à Erbil en Irak, à Gao au Mali et dans des bases en Afghanistan, en Arabie saoudite, au Qatar, au Tchad et en Corée du Sud.

Polar n’a pas non plus réussi à limiter la quantité d’informations pouvant être révélé. Comme il n’y avait pas de limites, les journalistes pouvaient appeler automatiquement toutes les activités du monde entier pour ces 6 460 utilisateurs ce qui facilitait grandement l’identification de leur adresse personnelle». Cela aurait été tout aussi facile pour les services de renseignement étrangers ou malveillants.

C’est la deuxième fois cette année que la carte d’une application de fitness a été utilisée pour exposer des informations personnelles sensibles. La première fois, la Global Heat Map de Strava a montré les emplacements et les mouvements de ses 27 millions d’utilisateurs avec des appareils de fitness à travers le monde. En théorie, les données ont été anonymisées; mais grâce à la recherche de Nathan Ruser, celui-ci a montré les emplacements et les modèles d’activité dans et autour des bases militaires, des installations secrètes et des routes de patrouilles militaires.

Après la notification de Polar, la société a publié une déclaration disant qu’il était important de comprendre que Polar n’a divulgué aucune donnée, et qu’il n’y a pas eu de violation de données privées. À l’heure actuelle, la grande majorité des clients de Polar gèrent les profils privés par défaut et les paramètres de données des sessions privées et ne sont aucunement affectés par ce cas. Même si la décision d’opter et de partager les sessions de formation et les données de localisation GPS reste le choix et la responsabilité du client, nous sommes conscients que des emplacements potentiellement sensibles apparaissent dans les données publiques et avons décidé de suspendre temporairement l’API.

Source

Houssen Mohsinaly

Houssen Mohsinaly

Rédacteur web depuis 2009 et vulgarisateur scientifique. J'écris sur l'actualité scientifique, les cryptomonnaie, mais également les nombreux domaines de la sécurité informatique. Que ce soit les piratages, les Ransomwares, les virus et d'autres malwares.

Avant de lancer ce blog, j'étais contributeur sur de nombreux magazines spécialisés dans la sécurité informatique et je tenais également une rubrique sur les menaces sur le numérique dans un titre de la presse écrite.

Pour me contacter personnellement :

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *