Un risque pour la vie privée a été découvert dans l’application de fitness populaire Strava qui pourraient être exploitées par un attaquant ou même par un harceleur pour identifier les adresses personnelles de ses utilisateurs.
Strava n’est pas seulement l’un des meilleures applications en cours d’exécution mais c’est aussi l’un des meilleures applications d’entraînement global. Il permet aux coureurs et autres amateurs de fitness de suivre leur fréquence cardiaque, les détails de leurs activités, leur position GPS et bien plus encore.
Avec plus de 100 millions d’utilisateurs dans le monde, la fonction de carte thermique de Strava pourrait poser un risque important pour la confidentialité si elle n’est pas configurée correctement. Conçue pour aider les utilisateurs à trouver de nouveaux sentiers ou à faire de l’exercice, la carte thermique regroupe de manière anonyme l’activité des utilisateurs afin qu’ils puissent s’entraîner dans des endroits plus sûrs en raison du fait qu’ils sont plus encombrés.
Cependant, des chercheurs de la North Carolina State University à Raleigh ont découvert que la fonction de carte thermique de Strava pouvait ouvrir le suivi d’utilisateurs sans méfiance en désanonymisant leurs données sur la plate-forme.
Abus de la fonction de carte thermique de Strava
Dans un nouveau rapport (PDF), des chercheurs de la North Carolina State University ont expliqué comment ils ont pu localiser les maisons des athlètes en utilisant la fonction de carte thermique de Strava. BleepingComputer a souligné les dangers dans son rapport sur ces découvertes.
Tout d’abord, les chercheurs ont recueilli des données accessibles au public à partir de la carte thermique de Strava dans l’Arkansas, l’Ohio et la Caroline du Nord au cours d’un mois. À partir de là, ils ont utilisé l’analyse d’images pour déterminer les zones de départ et d’arrêt à côté des rues afin d’indiquer qu’une maison spécifique est liée à une activité suivie dans Strava.
Avec des captures d’écran de carte thermique correspondant à leurs critères, les chercheurs ont ensuite superposé OpenStreetMaps images à des niveaux de zoom pour les aider à identifier les adresses des résidences individuelles. Ils ont ensuite effectué une exploration des utilisateurs en exploitant une fonction de recherche dans l’application Strava pour localiser les utilisateurs qui ont enregistré une ville spécifique comme emplacement.
En comparant les points finaux de la carte thermique de Strava avec les données personnelles de la fonction de recherche de l’application, les chercheurs ont ensuite pu faire correspondre les points d’activité élevés sur la carte thermique avec les adresses personnelles des utilisateurs réels.
En effet, de nombreux profils Strava publics contiennent de nombreuses données d’activité avec des horodatages et des distances, ce qui facilite grandement l’identification des itinéraires potentiels et la correspondance des modèles dans les données de la carte thermique. De même, comme de nombreux utilisateurs de Strava s’inscrivent en utilisant leur vrai nom et téléchargent même leurs photos sur l’application, il est également possible de corréler les identités avec les lieux d’origine.
Les chercheurs sont allés plus loin en corrélant leurs découvertes avec données d’inscription sur les listes électorales pour découvrir que leurs prédictions étaient exactes à environ 37,5 %.
Comment rester en sécurité lorsque vous utilisez Strava pour suivre vos entraînements
Si vous êtes un utilisateur Strava qui s’inquiète de la localisation de votre propre adresse personnelle en suivant les étapes décrites ci-dessus, vous pouvez prendre quelques mesures dès maintenant pour rester en sécurité.
D’abord, vous allez vouloir masquer votre adresse personnelle à Strava. Cela peut être fait en activant l’option de masquer le début et la fin de vos activités dans l’application. Dirigez-vous vers le Paramètres section, appuyez sur le rouage dans le coin supérieur droit, puis sélectionnez Contrôles de confidentialité. Ici, vous voulez Modifier la visibilité de la carte et vous pouvez personnaliser la part du début ou de la fin d’une activité qui est masquée jusqu’à un rayon de 1 mile.
Dans le même temps, vous pouvez également choisir si vous masquez le début et la fin des activités d’une adresse spécifique comme votre domicile ou si vous préférez masquer le début et la fin de toutes les activités, quel que soit leur lieu de départ. Vous pouvez même masquer toute la carte si vous le souhaitez.
La rédactrice en chef de Tom’s Guide, Jane McGuire, a également fourni quelques conseils supplémentaires aux coureurs qui cherchent à rester en sécurité pendant leurs entraînements tout en suivant leurs progrès, en disant :
« Si vous êtes un coureur qui aime garder une trace de vos itinéraires en ligne, pensez à la visibilité de ces cartes pour les étrangers. La plupart des coureurs sont des créatures d’habitudes et parcourront les mêmes itinéraires encore et encore, ce qui permet à quelqu’un de se faire facilement une idée de l’endroit où vous pourriez vous diriger. Si vous utilisez Strava, vous pouvez soit définir vos cartes thermiques sur privé, soit masquer le début et la fin de votre course, de sorte que votre lieu de résidence ne soit pas clair.
« En fuite, si vous craignez d’être suivi, entrez dans un magasin, frappez à la porte d’entrée de quelqu’un ou signalez une voiture. Lorsqu’il s’agit de se sentir plus en sécurité lors de vos déplacements, votre technologie peut vous aider : des applications telles que Strava Beacon vous permettent de partager votre position en direct avec jusqu’à trois personnes, qui peuvent continuer à vous suivre jusqu’à ce que vous arrêtiez votre activité, LiveTrack et Incident Detection on les meilleures montres de course Garmin et la détection de chute sur les meilleures montres Apple sont toutes conçues pour aider les coureurs à se sentir plus en sécurité.
« Votre téléphone peut également être utilisé en cas d’urgence – si vous maintenez enfoncé le bouton droit et l’un des boutons de volume sur un iPhone 8 ou version ultérieure, vous activez la fonction SOS d’urgence du téléphone (sur un iPhone 7 ou version antérieure, rapidement appuyez cinq fois sur le bouton supérieur ou latéral). Cela appellera les services d’urgence et enverra un SMS à vos contacts d’urgence. Sur un téléphone Samsung, maintenez enfoncé le bouton d’alimentation et appuyez sur Mode d’urgence. Nous espérons toujours que nous n’aurons pas besoin de fonctionnalités comme celle-ci, mais il est important de nous rappeler qu’elles sont là. »
Quelle que soit l’application de suivi de la condition physique que vous utilisez, tout comme avec les meilleures applications de rencontres, vous souhaitez limiter la quantité d’informations personnelles que vous publiez en ligne. Les harceleurs et même les pirates informatiques récupèrent souvent des données accessibles au public pour les utiliser dans leurs attaques en ligne et hors ligne, c’est pourquoi vous voulez jouer près de la poitrine pour rester en sécurité.
Maintenant que les chercheurs ont réussi à abuser de la fonction de carte thermique de Strava, la société mettra probablement en place des mesures de protection supplémentaires pour assurer la sécurité des utilisateurs de son application.