Strava : la fonction “headmap” de l’application sportive peut être utilisée abusivement pour trouver les adresses des utilisateurs
juin 2023 par Benoit Grunemwald Expert en Cyber sécurité, ESET France
Selon le média BleepingComputer, des chercheurs de l’université d’État de Caroline du Nord à Raleigh ont découvert un risque pour la vie privée dans la fonction "heatmap" de l’application Strava, qui pourrait permettre d’identifier les adresses des utilisateurs.
Strava, une application qui enregistre l’activité sportive, compte plus de 100 millions d’utilisateurs dans le monde, aide les utilisateurs à suivre leur fréquence cardiaque, les détails de leur activité, leur localisation GPS, et plus encore.
En 2018, Strava a mis en place une fonctionnalité appelée "heatmap" qui regroupe de manière anonyme l’activité des utilisateurs (coureurs, cyclistes, randonneurs) afin de les aider à trouver des sentiers ou des lieux propices à l’exercice, à rencontrer des personnes partageant les mêmes passions et à effectuer leurs séances dans des endroits plus fréquentés et plus sûrs.
Toutefois, comme l’ont constaté les chercheurs, cette fonctionnalité permet de suivre et de désanonymiser les utilisateurs à l’aide de données de la fonction accessibles au public, combinées à des métadonnées d’utilisateurs spécifiques.
En comparant les points d’extrémité de headmap et les données personnelles d’un utilisateur issues de la fonction de recherche, les chercheurs ont pu établir une corrélation entre les points d’activité élevée de la fonction et les adresses des utilisateurs.
Benoit Grunemwald - Expert en Cybersécurité chez ESET France réagit :
« Ce n’est malheureusement pas une surprise, car ce n’est pas la première fois que Strava (mais aussi d’autres réseaux sociaux) pose un risque pour la vie privée ou même la sécurité physique des utilisateurs. En 2018 déjà, Strava a été utilisé à mauvais escient pour suivre et attaquer des bases militaires américaines dans le monde entier, à cause de la fonction "heatmap".
Présentée comme une fonctionnalité permettant de partager les progressions et la motivation avec leurs pairs, la mise à jour de la fonctionnalité en 2017 a fait froncer les sourcils de la communauté de la sécurité. Grâce à la grande précision de la carte, il semblait facile de traquer les activités individuelles - Strava s’en est même vanté dans son communiqué de presse.
Le meilleur conseil que l’on puisse donner à tous les utilisateurs est de réfléchir à deux fois avant d’activer cette fonction optionnelle - en particulier lorsque vous soupçonnez d’être traqué ou que vous travaillez dans un domaine où les exigences en matière de sécurité sont plus élevées. »