Strava, comment l'app de running peut dévoiler votre adresse malgré elle

Publié le 19 juin 2023 à 10h00

Strava est l'application de référence pour les sportifs depuis 2009. Dotée de fonctions très intéressantes pour les athlètes, un risque pour la confidentialité des données des utilisateurs a récemment été découvert. Votre adresse personnelle peut fuiter.

Strava est certainement l'application de suivi sportif la plus connue au monde. Avec 100 millions d'utilisateurs en 2022 partout sur la planète, elle est bardée de fonctionnalités : suivi de vos exploits par GPS, indicateurs de performances, fréquence cardiaque ou possibilité de suivre vos athlètes favoris à la manière de Twitter. En 2018 apparaît une nouvelle fonctionnalité nommée carte thermique qui compile anonymement toutes les activités des utilisateurs : cyclistes, randonneurs ou coureurs. L'idée était de permettre aux sportifs de trouver de lieux pour se rencontrer autour d'activités similaires et les pratiquer dans des environnements plus sûrs. Mais récemment, une équipe de chercheurs de l'Université d’État de Caroline du Nord à Raleigh a découvert que cette carte thermique pouvait divulguer des informations personnelles compromettantes.

L'identification des adresses personnelles par la collecte de données de la carte thermique

Le système utilisé par Strava est celui d'OpenStreetMaps, un projet collaboratif de cartographie qui permet de constituer librement une base de données géographiques du monde entier. L'application repose entièrement sur ce système, très complet, puisqu'il a été créé en 2004 et a connu de nombreuses améliorations depuis. C'est grâce à celui-ci que les chercheurs ont collecté publiquement les données accessibles grâce à la carte thermique.

Pendant un mois, l'équipe a agrégé des données issues des activités partagées en Arkansas, en Caroline du Nord et dans l'Ohio. Cette collecte de données a ensuite été suivie de l'utilisation d'analyse d'images pour repérer les zones de départs et les zones d'arrêts qui revenaient régulièrement sur la carte thermique. Ceux-ci étant à proximité des rues, cela indiquait nécessairement qu'une adresse précise était liée à une source d'activité suivie. Les captures d'écran de la carte thermique qui correspondaient aux critères ont été sélectionnées. Ensuite, une superposition des données d'OpenStreetMaps à différents niveaux de zoom a permis aux chercheurs d'identifier précisément les adresses individuelles.

La corrélation des données utilisateurs pour faire sortir les adresses personnelles de l'anonymat

En se basant sur les lieux de résidence des utilisateurs et les données d'activités, les chercheurs ont mis en relations les zones d'activité les plus fréquentées de la carte thermique.… qui comportait donc les adresses personnelles des utilisateurs.

Les profils publics de Strava sont très complets : noms complets et photos des visages, ce qui facilite encore plus la mise en lien entre une personne et son lieu de résidence. Les conclusions de l'équipe de recherche sont plutôt inquiétantes. Leurs prédictions atteignaient une précision moyenne de 37,5 % !

Pour pallier ce problème de confidentialité auquel tous les Français sont confrontés, les chercheurs préconisent de créer des zones d'anonymat autour des lieux de résidence pour protéger la vie privée des sportifs de manière plus efficace. La carte thermique est activée par défaut, mais elle est désactivable manuellement. Il est également tout à fait possible de rendre ses données d'utilisateurs privées, ce qui permettrait aux utilisateurs de ne pas partager leur nom ou leurs domaines d'activité. Une méthode de protection plus passive serait d'habiter dans une zone densément peuplée, ce qui rend le suivi d'utilisateurs quasiment impossible via la carte thermique.

Le 14 juin, Strava a répondu aux sollicitations du site BleepingComputer dans un communiqué. L'entreprise assure donner à la confidentialité des utilisateurs une importance de premier ordre et qu'elle ne partage jamais de données sans autorisation explicite. Elle explique également que la carte thermique est désactivable à loisir pour qui compte garder ses informations personnelles privées.

Même si la firme se veut rassurante quant à la confidentialité des données, le travail de l'équipe de chercheurs est clairement à prendre au sérieux. Si la récupération de données peut être rendue impossible par les utilisateurs en s'aidant de divers moyens, il va sans dire que cette carte thermique n'est pas intégralement sûre d'utilisation pour le moment.

Sources : BleepingComputer, Strava

Par Camille Coirault

La tech est mon terrain de jeu, la science ma maîtresse capricieuse et le jeu vidéo (malgré mes overdoses récurrentes de AAA) mon péché mignon. Voici votre serviteur, explorant la jungle technologique armé d'un simple PC et salivant comme un bouledogue devant la moindre innovation. Transformer le jargon technique en prose savoureuse, traquer les news ultimes avec les neurones toujours à balle de caféine : voilà ma mission.

Articles de Camille Coirault

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (5)

ben100g

quand même prévisible … à vouloir trop frimer, on se fait remarquer et oui avec des données de localisation, on peut faire et déduire beaucoup.

stefr

Pour limiter ce probléme, Strava a justement une option qu’il suffit de cocher pour que le tracé de l’activité commence et finisse à plusieurs centaines de métres du point de départ.

dredre

Même si je n’ai pas attendu ce genre d’options pour faire attention au tracking GPS d’application et informations données dans mon profil (comme une photo).

Il fut un temps ou les gens étaient dans l’annuaire avec leur adresse et leur numéro de téléphone. Ce qui ne posait pas de problème à la société en générale et était même pratique pour contacter qqun.

Mais alors pourquoi maintenant c’est un problème ? Pourquoi vouloir toujours tout cacher au nom de la protection des données d’un coté et de l’autre vouloir se venter sur les réseau « sociaux » ?
Je ne cherche pas vraiment de réponse à ces question…

jvachez

Sauf que comme les gens font une boucle c’est facile de relier le début et la fin.

Squeak

Il y a sûrement déjà eu des soucis liés à la localisation, et si on recoupe des infos publiques glanées sur les réseaux sociaux etc on peut faire un profil complet :

connaître les habitudes des gens, donc quand la personne n’est pas à son domicile => risque de cambriolage
savoir où la personne passe, si elle choisit régulièrement ce petit chemin de campagne désert et très peu fréquenté => risque d’agressions

A partir du moment où on partage des données de localisation publiques, on s’expose à divers risques. Strava a déjà prévu des options (notamment la visibilité uniquement pour les abonnés, qui peuvent être dans ce cas des amis ou la famille). Il reste la possibilité de partager publiquement une activité comme par exemple une course organisée.