Strava : De faux comptes douteux mettent en évidence une faille dans l’application d’entraînement et compromettent des bases militaires en Israël.

L’application permet aux gens de suivre leurs séances d’entraînement et de les partager (et de les comparer) en ligne via des cartes de visualisation de données détaillées qui enregistrent la distance, le rythme, le lieu et l’heure de l’entraînement.

Un rapport de FakeReporter, un site web publié par des chercheurs israéliens en cybersécurité, a montré comment des tentatives malveillantes avaient été faites pour extraire des informations sur le personnel de la défense israélienne.

Les utilisateurs, dont certains disposent des paramètres de confidentialité les plus stricts, ont vu leurs noms et leurs parcours récents exposés après qu’un faux compte a exploité la fonction Segments de l’application, qui permet aux utilisateurs de créer leurs propres défis de groupe publics.

Dans ce cas, le faux utilisateur aurait téléchargé de fausses données de course à pied près de bases militaires suspectes.

« Le faux utilisateur a pu utiliser cette brèche pour en savoir plus sur les bases et sur le personnel et les agents qui s’y trouvaient, dont beaucoup appartenaient aux plus hautes forces de sécurité d’Israël », a déclaré Achiya Schatz, directeur exécutif de FakeReporter.

Le rapport estime que les informations personnelles d’un maximum de 100 soldats ont été compromises dans six bases.

FakeReporter indique qu’il a pu trouver rapidement des informations plus personnelles sur les soldats israéliens via l’application, notamment les noms des membres de leur famille, l’historique de leurs voyages et, dans certains cas, l’adresse de leur domicile.

L’entreprise basée à San Francisco a récemment publié un billet de blog encourageant les utilisateurs à revoir leurs paramètres de confidentialité, annonçant qu’elle examinerait « les fonctionnalités conçues à l’origine pour la motivation et l’inspiration des athlètes afin de s’assurer qu’elles ne peuvent pas être compromises par des personnes mal intentionnées ».

Et ce n’est pas la première fois que les fonctionnalités de l’appli présentent un risque de sécurité pour les militaires. En 2018, des analystes ont tiré la sonnette d’alarme sur les risques de sécurité potentiels liés à la fourniture d’une carte thermique mondiale, qui indiquait l’emplacement d’un certain nombre de lieux sensibles.

Dans des endroits clairsemés comme l’Afghanistan et la Syrie, les utilisateurs de Strava semblent être presque exclusivement des militaires étrangers.

Par conséquent, les bases militaires se détachent nettement de la toile de fond sombre de ces pays du Moyen-Orient, exposant ainsi des sites potentiellement sensibles.

Nathan Ruser, un analyste de l’Institute for United Conflict Analysts, a précédemment souligné que si les « cartes de Strava sont jolies », elles incluent des bases militaires américaines qui sont « clairement identifiables et cartographiables ».

« Si les soldats utilisent l’application comme les gens normaux, en l’activant pour le suivi lorsqu’ils vont faire de l’exercice, cela pourrait être particulièrement dangereux », a-t-il déclaré.

Strava a répondu aux conclusions de FakeReporter dans une déclaration, affirmant qu’elle a commencé à prendre les « mesures nécessaires » pour corriger la faille.

« Nous prenons les questions de confidentialité très au sérieux et avons été informés par un groupe israélien, FakeReporter, d’un problème de segmentation concernant un compte utilisateur spécifique et avons pris les mesures nécessaires pour remédier à cette situation », a déclaré la société.