Une récente étude menée par une université américaine montre que l’application Strava possède une faille importante, permettant avec quelques manipulations de localiser précisément l’adresse d’un utilisateur ou d’une utilisatrice.
La célèbre application smartphone de suivi des performances sportives ne semble donc pas avoir retenu les leçons des premières polémiques en 2018. L’article de recherche publié par l’université de Caroline du Nord aux États-Unis changera-t-il la donne cette fois ?
La carte de chaleur une nouvelle fois concernée
Avec plus de 100 millions d’utilisateurs dans le monde, l’application Strava dispose d’un gigantesque réseau de localisation des activités sportives en extérieur. L’appli mobile permet notamment de suivre le tracé d’un footing ou d’un tour à vélo. Depuis quelques années, l’entreprise a même mis à disposition de ses utilisateurs et utilisatrices une carte de chaleur, affichant les endroits empruntés par d’autres afin de faire découvrir de nouveaux lieux où faire son sport. Si les données affichées sont en principe anonymisées, quelques petites manipulations permettent de retrouver l’adresse précise d’une personne.
Selon l’équipe de l’université de Caroline du Nord, responsable de l’étude, il est tout à fait possible de désanonymiser les données. Ainsi, les chercheurs et chercheuses ont réussi à collecter les données de départ et d’arrivée à proximité de lieux spécifiques. En combinant ces informations avec des données publiques provenant d’OpenStreetMaps et en les comparant avec des données de bureaux de vote par exemple, l’équipe a réussi à correctement localiser l’adresse de personnes avec une précision d’environ 37,5 %.
Les petites villes sujettes aux plus gros risques
L’étude rapporte que les personnes vivant dans de grandes villes ou des endroits à forte densité de population sont moins exposées à ce risque de localisation de leur domicile. En revanche, celles vivant dans de petites villes, avec moins d’utilisateurs de Strava, devraient faire plus attention. Évidemment, cette étude vise à pointer du doigt le fait que rien n’a été fait du côté de Strava depuis 2018 pour garantir une protection totale de la vie privée sur son application. Les cartes de chaleur sont arrivées en 2018 et, très rapidement, celles-ci ont montré les limites de l’entreprise sur ce segment.
En effet, les cartes permettaient d’identifier très facilement la localisation de bases militaires ou encore les routines sportives de soldats dans des régions sensibles. Des gouvernements ont, suite à cette polémique, interdit à leurs soldats d’utiliser des bracelets connectés ou l’application, mais l’entreprise, elle, n’a pas changé grand-chose. Tout au plus cache-t-elle les premiers et derniers mètres de l’activité dans l’historique, mais rien de plus. Le site Connect the Watts, qui a relayé cette étude, propose une manipulation pour rendre plus difficile sa localisation.
Il suffit d’aller dans les paramètres de l’application, « Contrôles de la confidentialité » puis « Modifier la visibilité de la carte ». Là, il est possible de déterminer à quel point on souhaite masquer le début et la fin de l’activité, avec un rayon allant jusqu’à un peu plus d’un kilomètre autour du domicile.