Le Ministère américain de la Défense envisage de revoir sa politique et ses formations
Une application de fitness révèle les positions de certaines bases militaires secrètes des États-Unis
ainsi que des données sur leurs activités
Une application de fitness nommée Strava a révélé des données sur des bases militaires secrètes des États-Unis ainsi que leurs positions. Les données divulguées comprennent entre autres les itinéraires empruntés par les soldats lors d'exercices. Ces itinéraires ont été partagés en ligne par les soldats qui utilisent l’application et peuvent être utilisés pour localiser leurs installations à l'étranger, d’après le journal The Guardian. Le journal révèle également que certaines positions de l’armée américaine qui ont fuité à travers Strava concernent des postes d’espionnage utilisés par l’armée américaine.
Les détails concernant les positions des bases en question ont été publiés par la société derrière cette application dans une carte de visualisation des données qui montre toute l'activité de ses utilisateurs, cela permet aux gens d'enregistrer leur exercice et de le partager avec d'autres. La carte, publiée en novembre 2017, montre toutes les activités mises en ligne sur Strava. Cela représente plus de 3 billions de coordonnées GPS individuelles, selon l'entreprise.
Certains analystes militaires ont remarqué que la carte est suffisamment détaillée pour donner des informations extrêmement sensibles sur un groupe particulier d'utilisateurs de l’application Strava à savoir le personnel militaire en service actif. Nathan Ruser, un analyste de l'Institute for United Conflict Analysts, a déclaré que « les bases américaines sont clairement identifiables et cartographiables ». « Si les soldats utilisent l'application comme le font les gens normaux, en activant le suivi lorsqu'ils font de l'exercice, cela pourrait être particulièrement dangereux », a-t-il ajouté.
Un autre analyste du nom de Tobais Schneider indique qu’ « en Syrie, des bases de coalition connues sont éclairées la nuit ». Dans des endroits comme l'Afghanistan, Djibouti et la Syrie, les utilisateurs de Strava semblent être presque exclusivement des militaires étrangers. Cela a permis aux observateurs de faire le lien entre les points lumineux représentant les utilisateurs et leurs itinéraires et les bases militaires.
Selon le journal The Guardian, un zoom sur l'une des plus grandes bases révèle clairement sa disposition interne, par exemple des tracés par les pistes de jogging de nombreux soldats. La base elle-même n'est pas visible sur les vues satellites de fournisseurs commerciaux telles que Google Maps ou les cartes d'Apple, mais elle peut être clairement vue à travers Strava. En dehors des zones de conflit direct, des informations potentiellement sensibles peuvent encore être identifiées. Par exemple, une carte de l'aéroport de Homey, Nevada, la base de l'US Air Force communément appelée Area 51, enregistre un cycliste solitaire qui fait un tour de la base le long du bord ouest du lac Groom, marqué par une fine ligne rouge.
Source : The Guardian
Et vous ?
:fleche: Qu'en pensez-vous ?
Voir aussi
:fleche: Facebook va déployer de nouveaux outils pour permettre aux utilisateurs de mieux contrôler leur vie privée en réponse à la prochaine entrée en vigueur du RGPD
:fleche: Il n'existe aucun lien entre les jeux vidéo et le comportement violent, selon une étude de l'université de York
Enfin une appli qui publie ses données
Il faudrait plus d'applications comme celles-ci. Ca me parait normal que les utilisateurs qui "fabriquent" les donnés personnelles exploitées par ces entreprises y aient accès.
Si des militaires n'ont pas encore compris que tout ce qu'ils font avec leur smartphone peut être exploité par le fabricant du téléphone ou par les applications c'est leur problème.
Le Ministère américain de la Défense envisage de revoir sa politique et ses formations
Le Ministère américain de la Défense envisage de revoir sa politique et ses formations,
après l'exposition de soldats par une application de fitness
Strava, une application de fitness qui inclut une option pour garder les données d'entraînement des utilisateurs privées, a publié la carte de chaleur mise à jour à la fin de l'année dernière. La société californienne se surnomme elle-même « le réseau social pour les athlètes », assurant que ses applications mobiles et son site web connectent des millions de personnes chaque jour. Cela représente plus de 3 billions de coordonnées GPS individuelles, selon l'entreprise.
En utilisant les données des trackers de fitness tels que le Fitbit, la carte de Strava montre des millions de trajets, promenades et voyages à vélo de 2015 à septembre 2017. Dans certains pays, il est possible de voir les activités des militaires.
C’est ce qu’ont appris à leurs dépens des militaires américains dont les données sur des bases militaires secrètes ainsi que leur position ont été révélées. Les données divulguées comprennent entre autres les itinéraires empruntés par les soldats lors d'exercices. Ces itinéraires ont été partagés en ligne par les soldats qui utilisent l’application et peuvent être utilisés pour localiser leurs installations à l'étranger, d’après le journal The Guardian. Le journal a révélé également que certaines positions de l’armée américaine qui ont fuité à travers Strava concernent des postes d’espionnage utilisés par l’armée américaine.
Certains analystes militaires ont remarqué que la carte est suffisamment détaillée pour donner des informations extrêmement sensibles sur un groupe particulier d'utilisateurs de l’application Strava à savoir le personnel militaire en service actif. Nathan Ruser, un analyste de l'Institute for United Conflict Analysts, a déclaré que « les bases américaines sont clairement identifiables et cartographiables ». « Si les soldats utilisent l'application comme le font les gens normaux, en activant le suivi lorsqu'ils font de l'exercice, cela pourrait être particulièrement dangereux », a-t-il ajouté.
Une découverte qui a provoqué une réaction rapide du Pentagone, qui a dit qu’il envisage d'ajouter de nouvelles formations et de nouvelles politiques pour répondre aux préoccupations en matière de sécurité.
« Les récentes publications de données soulignent la nécessité d'une connaissance de la situation lorsque des membres de l'armée partagent des informations personnelles », a déclaré le porte-parole du Pentagone, le Major Adrian J.T. Rankine-Galloway du Corps des Marines américains.
Les manquements apparents dans la sécurité opérationnelle mis en évidence par Strava Heat Map ont d'abord été soulignés par Nathan Ruser, alors qu’il traitait les questions de sécurité du Moyen-Orient à Sydney, en Australie. Dimanche, Ruser a tweeté à propos de la carte thermique globale de Strava, « C'est très joli, mais pas extraordinaire pour Op-Sec. Les bases américaines sont clairement identifiables et cartographiables. »
Alors que Ruser a fait sa découverte en raison de son attention sur la partie syrienne de la carte, sa découverte a poussé les experts en sécurité à fouiller dans les données de Strava, déterrant plus d'activité dans les zones sensibles des États-Unis et d'autres pays. Certains se sont montrés inquiets du fait que ces données puissent servir les desseins de « forces hostiles » par exemple en Afghanistan.
Décrivant ce qu'il appelle « un cauchemar de sécurité pour les gouvernements du monde entier », le chroniqueur de politique étrangère Jeffrey Lewis a expliqué comment il a utilisé les données de Strava pour explorer un centre de commandement de missiles à Taïwan : « il y a un certain nombre d'utilisateurs avides de Strava qui travaillent là, et qui font parfois un jogging juste à côté du parking où les lanceurs de missiles sont placés. »
Pour explorer les données de Strava, les analystes les comparent aux vues historiques de Google Maps et à d'autres ressources, pour voir comment les emplacements militaires potentiels ont pu se développer ces dernières années. Et les États-Unis ne sont pas le seul pays dont les opérations pourraient être mises en péril.
En regardant une section de terre au Yémen, le chercheur Aric Toler de Belling Cat souligne comment les données de Strava donnent de nouveaux détails sur l'activité à Aden, où un système de missiles Patriot aurait été déployé au début de l'année dernière.
Toler et d'autres experts mettent également en garde contre le fait de supposer que tous les utilisateurs de traceurs fitness dans des zones reculées et/ou contestées sont des militaires en opération plutôt que civiles.
Quoi qu’il en soit, le Département de la Défense des États-Unis a pris connaissance de la situation et passe actuellement en revue ses politiques.
Dans un courriel adressé à NPR, Rankine-Galloway du Pentagone a déclaré : « Nous prenons ces questions très au sérieux et examinons la situation pour déterminer si des formations ou des conseils supplémentaires sont nécessaires et si une politique supplémentaire doit être élaborée pour assurer la sécurité du personnel du ministère de la Défense ici et à l'étranger. »
Source : NPR
Et vous ?
:fleche: Que pensez-vous de cette décision ?
2 pièce(s) jointe(s)
Polar Flow, une application de fitness, expose par inadvertance les maisons des agents de renseignements
Polar Flow, une application de fitness, expose par inadvertance les maisons des agents de renseignements
et du personnel militaire
Polar Flow, une application de fitness populaire qui suit les données d'activité sur des millions d'utilisateurs, a révélé par inadvertance les emplacements de ses utilisateurs, ce qui peut porter préjudice à des organisations si ces personnes font par exemple parti du personnel travaillant dans les bases militaires et les services de renseignement.
L'application Polar Flow, créée par sa société éponyme Polar, un finlandais basé à New York, permet à quiconque d'accéder aux activités de fitness d'un utilisateur sur plusieurs années, en modifiant simplement son adresse Web.
Pour la plupart des utilisateurs qui mettent leurs enregistrements de suivi d'activité à la disposition du public, l'affichage de leurs entraînements sur la carte d'exploration de Polar est une fonctionnalité et non un problème de confidentialité. Mais même avec des profils définis sur privé, l'activité physique d'un utilisateur peut révéler où une personne vit.
Il s’agit là de la seconde fois cette année qu'une application de fitness suscite la controverse en révélant l'emplacement du personnel dans des installations dites sensibles. La première, Strava, a opté pour changer ses paramètres de confidentialité après que des communautés d’experts ont fait valoir le danger que représente l’exposition du personnel militaire ainsi que des bases secrètes.
L’identité du personnel militaire exposée au public
Mais Polar Flow va encore plus loin. En effet, dans le cas de Strava, l'existence de nombreuses installations gouvernementales ont pu être exposées. Dans le cas de Polar Flow, c’est l'identité des employés qui le serait.
En effet, d’après une enquête menée par les sites d'information néerlandais De Correspondent et Bellingcat, Polar Flow a exposé ses données de suivi de la condition physique. L'API développeur de la société peut être mal sollicitée pour récupérer des activités de fitness, comme chaque session de course et de cyclisme, sur n'importe quel utilisateur.
Avec deux paires de coordonnées placées au-dessus d'un lieu ou d'une installation gouvernementale sensible, il a été possible de trouver les noms des membres du personnel qui suivent leurs activités de conditionnement physique datant d'aussi loin que 2014.
Les journalistes ont identifié plus de 6 400 utilisateurs supposés s'exercer dans des lieux sensibles, notamment la NSA, la Maison Blanche, le MI6 à Londres et le centre de détention de Guantanamo Bay à Cuba, ainsi que du personnel travaillant sur des bases militaires étrangères.
Les noms des officiers et agents des services de renseignements étrangers, comme le GCHQ à Cheltenham, la DGSE à Paris et le GRU russe à Moscou, ont également été trouvés. Le personnel des installations de stockage nucléaire, des silos de missiles et des prisons a également été repéré.
Selon le quotidien, non seulement il était possible de voir exactement où un utilisateur s'était exercé, mais il était facile de déterminer exactement où vivait un utilisateur, s'il avait commencé ou arrêté son suivi de condition physique dès qu'il avait quitté sa maison.
En somme, en montrant toutes les sessions d'un individu combinées sur une seule carte, Polar révèle non seulement les fréquences cardiaques, les itinéraires, les dates, l'heure, la durée et le rythme des exercices effectués par les individus sur les sites militaires, mais indique également où peuvent être situés leurs domiciles.
Le suivi de toutes ces informations est très simple sur le site : il suffit par exemple de trouver une base militaire, sélectionner un exercice publié dessus pour identifier l’un des profils qui y figure et voir les autres endroits où l’utilisateur s’est entraîné. Comme les gens ont tendance à activer / désactiver leurs trackers de fitness lorsqu'ils quittent ou entrent dans leurs maisons, ils marquent leur maison sur la carte sans même le vouloir. Les utilisateurs se servent parfois de leurs noms complets dans leurs profils, accompagnés d'une photo de profil - même s'ils n'ont pas connecté leur profil Facebook à leur compte Polar.
Aucune limite au nombre de requêtes de l’API
Polar n'est pas la seule application à le faire, mais la différence avec d'autres plateformes de fitness populaires, telles que Strava ou Garmin, est que ces autres applications limitent souvent le nombre d'exercices pouvant être visualisés. Polar rend la situation bien pire en montrant tous les exercices d'un individu effectués depuis 2014, partout dans le monde sur une seule carte.
Par conséquent, il vous suffit de naviguer vers un site intéressant, de sélectionner l'un des profils qui s'y exercent et d'obtenir un historique complet de cet individu.
En quelques clics seulement, un officier de haut rang d'une base aérienne connue pour abriter des armes nucléaires peut être retrouvé en train de courir le matin dans l'enceinte du complexe. D'une maison pas trop loin de cette base, il a commencé et a fini beaucoup plus de courses tôt le dimanche matin. Son chemin préféré est à travers une forêt, mais parfois il commence et se termine à un parking plus loin. Le profil montre son nom complet.
Les activités normalement entourées de secret sont mises à nu avec des détails incroyables. Sur une base de l'armée de l'air américaine où des drones armés sont stationnés, un officier de renseignement peut être trouvé en train de faire de l'exercice. Encore une fois, son nom et sa photo de profil sont disponibles.
Polar suspend temporairement la carte d'activité
Mais vendredi, Polar a annoncé qu'il suspendait temporairement l'API Explore (carte d'activité), en raison des problèmes de confidentialité exposés dans les deux rapports.
La société a également précisé que l'application Polar Flow n'expose pas l'activité et le nom d'utilisateur par défaut. Selon Polar, ces informations sont partagées uniquement sur la base d'un système d'acceptation, et les données exposées via sa carte d'activité ont été volontairement partagées par certains de ses utilisateurs, la grande majorité des données utilisateur restant privées.
Polar a pris cette décision dans le but d'éviter de se trouver confronter aux fonctionnaires du monde entier comme cela a été le cas avec Strava. En effet, les développeurs de l’application Strava ont été appelés à témoigner devant un comité du Sénat au début de février concernant les paramètres de confidentialité de leur application et ont ensuite déployé des protections améliorées de la vie privée.
Mais contrairement à l'exposition Strava, l'incident Polar semble bien pire, principalement parce que l'application a divulgué des détails personnels qui pourraient désanonymiser les utilisateurs de Polar.
Sources : De Correspondent, Bellingcat, Polar
Voir aussi :
:fleche: L'application de messages de Samsung enverrait des photos par erreur à des contacts, à cause d'un bogue dans sa dernière version
:fleche: Play Store : baisse brutale des installations de certaines applications Android, Google aurait modifié son algorithme de classement
:fleche: Tous les appareils Android depuis 2012 seraient menacés par RAMpage, une vulnérabilité qui permet d'accéder aux données d'autres applications
:fleche: Comment le RGPD est-il mis en application un mois après son entrée en vigueur ? Un tour d'horizon des solutions adoptées par les sites américains
:fleche: Play Store : Google annonce une mesure de sécurité qui s'apparenterait à un DRM introduit dans les applications Android
1 pièce(s) jointe(s)
Le Pentagone restreint l'utilisation des trackers de fitness ainsi que d'autres dispositifs
Le Pentagone restreint l'utilisation des trackers de fitness ainsi que d'autres dispositifs,
après la controverse suscitée par l'application de fitness Strava
Pendant des années, les téléphones portables ont été bannis de nombreux bureaux du Pentagone, sans parler des Sensitive Compartmented Information Facility (SCIF), une expression du Département de la Défense des États-Unis pour désigner une salle sécurisée. Il peut s'agir d'une salle sécurisée ou d'un centre de données qui protège contre la surveillance électronique et supprime les fuites de données d'informations de sécurité et militaires sensibles.
La raison était simple : tout ce qui peut transmettre et possède un microphone peut être utilisé pour enregistrer et envoyer des informations. Si vous avez une caméra, vous pouvez également prendre des photos ou des vidéos.
Aujourd'hui, la menace est moins évidente : elle provient des montres Apple, Garmins, Fitbits, smartwatches personnalisées et autres capteurs distants qui permettent de suivre votre position et de la partager avec des bases de données distantes.
« Ces capacités de géolocalisation peuvent exposer des informations personnelles, les emplacements, les routines et le nombre de membres du DoD et créer des conséquences imprévues pour la sécurité et la force interarmées », indique dans un mémo Patrick Shanahan, Deputy Secretary of Defense.
Le cas de Strava
Strava, une application de fitness qui inclut une option pour garder les données d'entraînement des utilisateurs privées, a publié la carte de chaleur mise à jour à la fin de l'année dernière. La société californienne se surnomme elle-même « le réseau social pour les athlètes », assurant que ses applications mobiles et son site web connectent des millions de personnes chaque jour. Cela représente plus de 3 billions de coordonnées GPS individuelles, selon l'entreprise.
En utilisant les données des trackers de fitness tels que le Fitbit, la carte de Strava montre des millions de trajets, promenades et voyages à vélo de 2015 à septembre 2017. Dans certains pays, il est possible de voir les activités des militaires.
C’est ce qu’ont appris à leurs dépens des militaires américains dont les données sur des bases militaires secrètes ainsi que leur position ont été révélées. Les données divulguées comprennent entre autres les itinéraires empruntés par les soldats lors d'exercices. Ces itinéraires ont été partagés en ligne par les soldats qui utilisent l’application et peuvent être utilisés pour localiser leurs installations à l'étranger, d’après le journal The Guardian. Le journal a révélé également que certaines positions de l’armée américaine qui ont fuité à travers Strava concernent des postes d’espionnage utilisés par l’armée américaine.
Certains analystes militaires ont remarqué que la carte est suffisamment détaillée pour donner des informations extrêmement sensibles sur un groupe particulier d'utilisateurs de l’application Strava à savoir le personnel militaire en service actif. Nathan Ruser, un analyste de l'Institute for United Conflict Analysts, a déclaré que « les bases américaines sont clairement identifiables et cartographiables ». « Si les soldats utilisent l'application comme le font les gens normaux, en activant le suivi lorsqu'ils font de l'exercice, cela pourrait être particulièrement dangereux », a-t-il ajouté.
En début d’année, le Département de la Défense des États-Unis a pris connaissance de la situation et passe actuellement en revue ses politiques.
Dans un courriel adressé à NPR, Rankine-Galloway du Pentagone a déclaré : « Nous prenons ces questions très au sérieux et examinons la situation pour déterminer si des formations ou des conseils supplémentaires sont nécessaires et si une politique supplémentaire doit être élaborée pour assurer la sécurité du personnel du ministère de la Défense ici et à l'étranger. »
Le Pentagone aborde le problème sous une approche plus générale
« L’évolution rapide du marché des dispositifs, applications et services dotés de capacités de géolocalisation (par exemple : suiveurs de condition physique, smartphones, tablettes, smartwatches et applications logicielles connexes) présente des risques importants pour le personnel du Département de la défense à nos opérations militaires au niveau mondial », note Shanahan.
Même si Strava n’avait pas déployé ses fonctionnalités dans un but malveillant, le contexte a rendu mal à l'aise les membres du service et les hauts responsables du Pentagone. Un examen des politiques du Pentagone concernant les appareils a été lancé et c’est de cela que cette note de Shanahan parle.
Notez la nécessité pour le responsable principal de l'information et le sous-secrétaire à la défense pour le renseignement de « développer conjointement » des conseils et une formation pour les commandants et autres.
Source : note de Patrick Shanahan
Et vous ?
:fleche: Que pensez-vous de cette décision ?
Voir aussi :
:fleche: Le Pentagone publie une liste de logiciels que l'armée et ses sous-traitants ne doivent pas acheter, ils sont d'origines russes et chinoises
:fleche: Le Pentagone en quête d'outils pour automatiser la classification des données, et la restriction d'accès
:fleche: Le projet d'IA de Google et le Pentagone était « directement lié » à un contrat de cloud de plusieurs milliards de dollars, d'après une fuite d'emails
:fleche: IA : un guide éthique en développement chez Google pour répondre aux protestations contre la participation de l'entreprise à un projet du Pentagone
:fleche: Des employés de Google présentent leur démission pour protester contre la participation de l'entreprise à un projet en IA du Pentagone