Des centaines d’espions et de militaires identifiables à cause d’une application sportive
Des centaines d’espions et de militaires identifiables à cause d’une application sportive
Par Martin Untersinger
Une carte du fabricant de matériel sportif Polar laissait deviner l’identité de centaines d’officiers du renseignement et de militaires occupant des postes sensibles.
Des centaines d’officiers d’agences de renseignement et de militaires déployés sur des zones et installations sensibles du monde entier pouvaient jusqu’à il y a peu être identifiés et localisés sur Internet.
C’est ce qu’ont découvert le média néerlandais De Correspondent et le site d’investigation Bellingcat en épluchant la carte que mettait à disposition Polar, un fabricant de matériel sportif connecté, sur laquelle étaient agrégés et disponibles les parcours que réalisaient ses utilisateurs depuis 2014.
Après quelques recherches, les deux médias ont identifié nommément des officiers de la National Security Agency (NSA) américaine, du MI6 et du Government Communications Headquarters (GCHQ) britanniques, des services de renseignement militaires et extérieurs russes, mais aussi des militaires basés à Guantanamo (Cuba), à Gao (Mali) ou en Afghanistan… Ils ont également pu retrouver des salariés d’installations nucléaires, de prisons de haute sécurité, ou des troupes stationnées à la frontière entre les deux Corées. Et sont parvenus, dans de nombreux cas, à retrouver leur adresse civile, voire le nom et le visage de certains de leurs proches.
En France, selon des données transmises au Monde par De Correspondent, 103 individus ont été repérés à proximité immédiate du siège de la direction générale de la sécurité extérieure(DGSE), dans le XXe arrondissement de Paris. Impossible, maintenant que Polar a désactivé sa carte, de savoir s’il s’agit uniquement d’officiers du service français de renseignement ou de simples habitués du secteur. Mais les deux médias sont cependant parvenus à repérer un programmeur informatique travaillant à l’intérieur de la DGSE, qu’ils ont identifié via son profil LinkedIn.
Un trajet sportif réalisé à partir du siège de la DGSE, dans le XXe arrondissement de Paris. / De Correspondent / Polar
Des informations faciles à récupérer
Ces informations extrêmement sensibles n’étaient pas très difficiles à récupérer, de nombreux utilisateurs de matériel Polar choisissant de poster leur activité en ligne de manière publique.
La carte de Polar permettant de voir — et d’aspirer informatiquement — tous les exercices pour chaque utilisateur, il était facile de déduire le domicile de chaque utilisateur, son lieu de travail, voire de corréler les deux en repérant la zone où débutaient ou se terminaient ses exercices. De Correspondent et Bellingcat ont ainsi repéré de nombreux individus occupant des postes sensibles. Les informations du profil (ville, nom…) pouvaient ensuite être croisées à des éléments disponibles par ailleurs sur Internet (CV en ligne, réseaux sociaux…). Sur un échantillon de cent personnes, les équipes des deux médias sont parvenues à en identifier quatre-vingt-dix « en quelques minutes ».
Dans un communiqué, Polar a dit suspendre ses fonctionnalités cartographiques. Malgré l’absence de mécanismes de protection, la marque a rejeté la faute sur ses utilisateurs :
« Nous sommes en train d’analyser les options qui permettront à nos clients de continuer à utiliser la fonctionnalité Explore, tout en prenant des mesures complémentaires pour leur rappeler de ne pas partager publiquement des données GPS d’endroits sensibles. »
Les informations qui pouvaient être récupérées très facilement sur le site de Polar sont très sensibles. Obtenir l’identité, voire l’adresse de résidence, d’un officier d’une agence de renseignement ou d’un militaire déployé à l’étranger en zone sensible peut être le prélude à des mesures de rétorsion contre lui-même ou sa famille. Les informations recueillies peuvent être exploitées par un service étranger, voire compromettre sa mission si elle est remplie sous une identité d’emprunt. Elles peuvent aussi trahir l’identité de certaines sources. Les identités réelles des officiers de renseignement et de leurs sources sont des informations protégées par la loi. En France, révéler l’identité d’un officier d’un service de renseignement ou de sa source peut être puni de cinq ans de prison et de 75 000 euros d’amende.
Ce n’est pas la première fois qu’une application sportive se révèle trop bavarde quant à la fonction de certains de ses utilisateurs. En janvier, l’application Strava était sous le feu des projecteurs pour avoir laissé apparaître certaines bases militaires censées rester discrètes. A l’époque, le ministère des armées avait « mis en garde » les troupes contre la diffusion imprudente de données de localisation. Son homologue américain avait déclaré « affiner » les consignes qu’il donnait déjà à ses soldats.