Comme le révèle Le Monde, la position exacte du porte-avions Charles-de-Gaulle a été exposée quasiment en temps réel au beau milieu de la Méditerranée. Le coupable ? Un militaire en train de faire son footing avec sa montre connectée reliée à un compte Strava public.

StravaLeaks : le problème du profil Public

Le vendredi 13 mars dernier, à 10h35, un jeune officier de la Marine nationale (que la source nomme “Arthur”) décide de faire son footing. Son terrain de course est différent du vôtre et du mien : le porte-avions Charles-de-Gaulle. Pendant 35 minutes, l’officier enchaîne les boucles pour parcourir un peu plus de 7 kilomètres.

OK, mais c’est quoi le problème ?

Il a utilisé une montre connectée pour enregistrer ses performances, et celle-ci est reliée à un compte Strava. Et, le problème, c’est que le profil de l’officier sur l’application Strava est configuré en mode public, cela signifie que n’importe qui peut la consulter ! Ainsi, le jeune homme a diffusé publiquement les coordonnées géographiques du fleuron de la Défense française, le localisant avec précision au nord-ouest de Chypre, à une centaine de kilomètres des côtes turques.

C’est un beau cas d’école en matière de sécurité opérationnelle.

Sous le capot : de la puce GNSS au cloud Strava

Ce processus de tracking de l’activité sportive repose sur la chaîne de transmission classique de l’IoT. Durant le footing, la puce GNSS (GPS/Galileo) de la montre enregistre des waypoints (points de cheminement) à intervalles réguliers. Ces données brutes, qui incluent la latitude, la longitude, l’horodatage précis et l’altitude, sont compilées localement dans un fichier au format ou .

Une fois la séance terminée, la montre se synchronise en BLE avec le smartphone du militaire. Sur cet appareil, il y a donc l’application de la montre connectée et l’application Strava. Une synchronisation est effectuée également entre les deux, puis dès que le smartphone choppe du réseau, l’application Strava exécute une requête vers les serveurs cloud de l’entreprise (hébergés chez AWS). Ainsi, la séance de sport est enregistrée et partagée.

Il me semble même que les informations peuvent être partagées en temps réel, dans le cas où le smartphone est à proximité de la montre pendant la séance de sport.

L’OSINT militaire à l’ère des objets connectés

La présence du porte-avions Charles-de-Gaulle en mer Méditerranée n’est pas un secret absolu. Le 3 mars dernier, Emmanuel Macron avait annoncé ce déploiement dans le contexte actuel, avec une guerre impliquant plusieurs pays, dont Israël, les États-Unis et l’Iran.

Cependant, il y a une différence entre savoir où il se situe exactement (avec des coordonnées GPS !) et savoir qu’il est présent en mer Méditerranée. Alors, oui, c’est un monstre des mers que l’on peut repérer de loin, mais n’oublions pas qu’il évolue dans un espace qui est également gigantesque.

Ce nouvel épisode de Stravaleaks illustre bien les risques introduits par nos objets connectés personnels du quotidien.

Qu’en pensez-vous ?

Source