StravaLeaks : que faut-il retenir ?

L'affaire des StravaLeaks a révélé comment des données sensibles, souvent perçues comme inoffensives, peuvent en réalité révéler des informations critiques, compromettant ainsi la sécurité des utilisateurs, autant que des personnalités publiques.
En examinant les risques associés à ces fuites de données, nous mettons en lumière l'importance de protéger sa vie privée dans un monde numérique de plus en plus intrusif.

Qu’est-ce que Strava ?

Il s’agit d’un réseau social rassemblant une communauté de plus de 120 millions de sportifs de tous niveaux, pratiquant plus de 30 disciplines différentes, où chacun partage ses expériences, s'encourage et se motive. 
Grâce à des fonctionnalités simples et intuitives, chacun peut suivre ses progrès, commenter les activités des amis, participer à des défis et rejoindre des groupes d'entraînement.
Cette vision minimaliste masque les véritables enjeux de confidentialité et de sécurité liés à ce type d’application.

Pourquoi on en parle ?

Une enquête du Monde a révélé que l'application Strava avait été utilisée pour suivre les déplacements d'Emmanuel Macron. Des membres de son équipe de sécurité (une douzaine de profils des gardes du corps), le GSPR, en partageant leurs activités sportives, ont involontairement dévoilé des informations sensibles sur les déplacements du président.
Grâce à ces données, les journalistes ont pu retracer environ dix déplacements du chef de l’État. En examinant les itinéraires partagés par les gardes du corps, ils ont même pu identifier les hôtels où François Hollande et Emmanuel Macron ont séjourné entre 2016 et 2024. 
Outre les informations liées au président, des données personnelles des agents de sécurité, telles que leurs noms, photos, et parfois des images de leurs familles, étaient librement accessibles.
Cette affaire soulève des questions cruciales sur la sécurité des personnalités politiques et démontre les risques liés à l'utilisation non contrôlée des données personnelles, même dans des contextes aussi sensibles que la protection présidentielle. 
Cette affaire n'est pas isolée : en 2018, la présence française au Niger avait été révélée par les trajets partagés sur Strava par des soldats, et il en avait été de même pour une base militaire américaine en Irak. Plus récemment, des profils Strava associés à des membres de la sécurité de personnalités telles que Vladimir Poutine (six membres du FSO russe), Melania Trump, et Jill Biden ont également été identifiés.
Le scandale des StravaLeaks n’est donc pas le premier exemple de fuites de données liées à cette application. Il souligne un manque de rigueur dans la gestion des données sensibles et plus globalement met en lumière les dangers inhérents à l’utilisation des réseaux sociaux.
La publication de contenus même anodins peut révéler des détails, qui mis bout à bout, dessinent un profil extrêmement précis. Ce genre de fuites est particulièrement préoccupant pour les personnalités publiques, mais elle peut l’être tout autant pour des citoyens et des dirigeants d’entreprises.

Quelles informations, pour quels impacts ?

Notre objectif ici n’est pas d’identifier les failles techniques ou les vulnérabilités de sécurité de l’application, mais plutôt d’en comprendre l’impact.

Quelles données

Ces applications collectent souvent une quantité importante de données personnelles qui peuvent être piratées. Parmi ces données, nous pouvons trouver :

• Des informations biométriques, des données de santé : rythme cardiaque, fréquence respiratoire, composition corporelle, etc. Ces informations peuvent révéler des détails intimes sur la santé physique d'une personne, ses antécédents médicaux, ses objectifs de santé, etc.
• Des données de localisation : les parcours de course, les lieux d’entrainement, les comparaisons avec les sorties précédentes, etc. Ces éléments sont utiles pour identifier des schémas de déplacement, déduire l'adresse personnelle de l’utilisateur ou des lieux fréquentés régulièrement. 
  La géolocalisation, également omniprésente dans de nombreuses applications, constitue un risque majeur. Ces données de localisation peuvent être détournées et offrent aux cybercriminels la possibilité de cibler une personne avec précision.
• Des données comportementales : les habitudes de sommeil, l’alimentation, les cycles d'entraînement... donnent une vue complète des routines de vie d’une personne.
• Des données concernant les proches : souvent ces applications fonctionnent en réseau et permettent d’identifier les familles, les amis, qui eux-mêmes, peuvent être amenés à commenter les courses.
  Les réseaux sociaux encouragent souvent à partager des éléments de la vie quotidienne, brouillant la frontière entre vie privée et vie publique. Chaque publication offre des indices supplémentaires aux individus malveillants.

Toutes ces informations sensibles donnent des éléments dont sont friands les cyberattaquants. En croisant toutes ces données, souvent considérées comme anodines, les cybercriminels peuvent établir des profils extrêmement détaillés de leurs victimes. Voyons maintenant quelles peuvent être les conséquences de leur collecte. Comprendre ces impacts est crucial pour saisir l'ampleur des risques liés à l'utilisation de ces outils.

Quels impacts ?

Impacts directs

• Chantage : Imaginez un cybercriminel ayant accès à des données médicales sensibles : il pourrait utiliser ces informations pour exercer un harcèlement psychologique.
• Usurpation d’identité : Avec des informations personnelles aussi précises, il devient facile de se faire passer pour vous.
  Une fois cela fait, ils peuvent contracter des crédits à votre nom, effectuer des achats en ligne, vider vos comptes bancaires, souscrire à des abonnements, louer des biens, etc.
• Revente sur le darkweb : Ces informations sont très recherchées sur le darkweb et peuvent se vendre à prix d'or, elles facilitent la réalisation d'attaques ciblées, comme le phishing ou les ransomwares.
• Rançon : Les cybercriminels peuvent exiger le versement d'une somme d'argent en échange de la non-divulgation de ces informations.
• Intrusion physique : La fréquence des déplacements, les horaires d’entraînement, et les lieux visités régulièrement peuvent permettre d’anticiper l'absence du domicile ou de mieux planifier une intrusion physique au domicile.

Impacts indirects

• Impacts psychologiques : stress, angoisse, culpabilité (Certaines victimes peuvent se sentir coupables, se demandant si elles auraient pu faire quelque chose pour éviter l'attaque), perte de contrôle… Les victimes de cyberattaques peuvent perdre confiance dans les services numériques et hésiter à utiliser à nouveau des applications.
• Impact sur son e-réputation : Les cybercriminels peuvent créer de faux profils ou diffuser de fausses informations, révéler des données personnelles, mettant à mal votre image… Les données peuvent être utilisées pour fabriquer de fausses preuves et accuser la victime de faits qu'elle n'a pas commis, entrainant des conséquences graves sur sa vie professionnelle (lui faire perdre des opportunités) et personnelle.
• Impact social : la peur d'être jugée ou stigmatisée peut pousser la victime à s'isoler socialement. Les relations peuvent se dégrader, provoquant des conflits ou un retrait social, ce qui exacerbe les problèmes de santé mentale.
• Impact sur la santé : Les conséquences peuvent aller bien au-delà des problèmes matériels ou financiers, affectant profondément la santé physique et mentale des victimes. Face à la pression et au stress engendrés, certaines personnes peuvent se tourner vers des substances illicites ou des médicaments pour tenter de gérer leur anxiété. On peut assister à des problèmes de somatisation, comme des maux de tête, des douleurs musculaires, des troubles gastro-intestinaux ou des problèmes dermatologiques.

Comment se protéger ?

Pour se protéger, voici nos 10 conseils :

1. Limiter la visibilité des données (paramétrer la confidentialité de l’application)
2. Utiliser des pseudonymes
3. Ne pas partager les parcours en temps réel
4. Désactiver certaines options de collecte de données si elles ne sont pas essentielles à l'expérience
5. Choisir des applications développées par des entreprises reconnues et ayant une politique de confidentialité claire
6. Lire attentivement les conditions d’utilisation : comprendre quelles données sont collectées et comment elles sont utilisées
7. Mettre à jour régulièrement l'application et l'appareil
8. Utiliser un VPN
9. Limiter la collecte des données GPS
10. Éviter le partage sur les réseaux sociaux

Conclusion

Bien que Strava se concentre sur la communauté sportive, le risque d’exposition va au-delà de l’usage d’une application sportive. En effet, de nombreuses autres applications collectent des informations sensibles et encouragent la publication de contenus personnels qui peuvent indirectement révéler des détails géographiques, comportementaux, ou même professionnels.
La vigilance, la gestion de la confidentialité et la prudence doivent s’appliquer sur l’ensemble des plateformes.
C’est ce que nous faisons chez ANOZR WAY, nous vous informons des données professionnelles et personnelles exposées des réseaux sociaux jusqu'au darkweb, et vous proposons des actions de remédiation pour réduire votre empreinte numérique.

Pour cela, nous proposons une suite logicielle qui s'appuie sur 2 logiciels de gestion du risque cyber humain : une plateforme permettant de protéger l’entreprise dans sa globalité et une application individuelle de prévention et remédiation afin de réduire la surface d'attaque humaine des collaborateurs et dirigeants.