Des chercheurs viennent de découvrir qu’une des fonctionnalités phares de l’application Strava pouvait être exploitée pour identifier votre adresse.
Vous utilisez Strava pour enregistrer vos sorties à vélo ou vos exploits en course à pied ? Vous devriez peut-être vous méfier et revoir vos options de confidentialité. Des chercheurs du département des sciences informatiques de l’Université de Raleigh en Caroline du Nord, aux États-Unis, ont démontré que la fonctionnalité HeatMap de Strava, pouvait être utilisée pour trouver l’adresse de certains utilisateurs.
Cet outil, qui permet de visualiser les lieux les plus prisés des sportifs, permet, en recoupant les informations affichées avec les cartes d’OpenStreetMaps, d’identifier les adresses de maisons d’habitation.
Des données pas si anonymes que ça
Lorsque vous utilisez Strava, l’application active par défaut l’utilisation des données agrégées. Concrètement, cette fonction permet à Strava d’utiliser les données d’activité de tous les utilisateurs pour permettre d’alimenter une carte de chaleur (heatmap) sur laquelle tous les trajets réalisés par les utilisateurs sont combinés.
Ces données, collectées à l’échelle mondiale et qui sont censées être anonymisées, permettent à l’application de mettre en exergue les lieux et itinéraires les plus prisés de ses utilisateurs. Mais les chercheurs viennent de démontrer que la fonctionnalité pouvait faire courir un risque pour la vie privée des utilisateurs. Pour illustrer leur découverte, les chercheurs ont décidé de collecter durant un mois les données publiques affichées par Strava sur sa carte mondiale des activités, dans trois états américains : l’Arkansas, l’Ohio et la Caroline du Nord. En analysant les données collectées, ils ont pu trouver sur la carte de Strava les zones de départ et d’arrivée dans certaines rues, démontrant ainsi que ces activités étaient probablement liées à un seul et même logement. Ils ont alors superposé la carte de Strava sur la carte d’OpenStreetMaps et ont pu identifier avec précision le logement duquel l’utilisateur était parti.
Pour pouvoir identifier l’utilisateur, les chercheurs ont ensuite tout simplement exploité le moteur de recherche de Strava. L’application permet en effet de rechercher très facilement d’autres utilisateurs à tapant le nom d’une ville, à condition évidemment que ceux-ci l’aient renseigné sur leur profil. En analysant les activités des utilisateurs, les chercheurs ont pu, en analysant les itinéraires enregistrés par chacun, en identifier l’un d’eux dont les activités correspondent aux informations affichées sur la carte d’activités de Strava. Et comme les sportifs utilisant Strava affichent généralement leur photo et utilisent leur vrai nom sur leur profil, il est assez simple d’associer leur identité à l’adresse du domicile.
Par le passé déjà, Strava avait été épinglé pour la même raison. Un chercheur avait réussi à démontrer qu’il était possible d’identifier aisément l’adresse du domicile d’un utilisateur en consultant simplement ses activités partagées publiquement. À l’époque, la firme avait réagi et mis en place un garde-fou consistant à cacher les zones de départ et d’arrivée des joggeurs et des cyclistes.
Passer en revue les options de confidentialité
Évidemment, la méthode utilisée par les chercheurs n’est pas infaillible. Les chercheurs expliquent en effet dans leur rapport qu’un utilisateur très actif produire plus de « chaleur » sur la carte de Strava et sera donc plus facilement identifiable que d’autres. Selon les chercheurs, leur méthode permettrait de prédire correctement le nom d’un utilisateur dans 37,5 % des cas.
Comment dès lors continuer d’utiliser Strava sans pour autant compromettre sa vie privée ? Les chercheurs expliquent que les utilisateurs habitant dans des zones densément peuplées, et pour lesquelles de nombreuses données viennent alimenter la carte des activités mondiales, limitent les risques de pouvoir identifier une personne en particulier.
Les chercheurs expliquent que pour limiter les risques, il est préférable de lancer le suivi de vos activités après être parti de chez vous. Votre véritable point de départ, votre habitation ici en l’occurrence, sera ainsi exclu de l’enregistrement du suivi de vos activités.
Pour eux, Strava devrait proposer une option permettant à chacun de créer une zone de confidentialité autour de son domicile. L’option permettant la collecte des données pour alimenter la carte mondiale des activités étant activée par défaut sur tous les appareils, il est sans doute plus prudent de la désactiver, notamment si vous habitez une zone peu densément peuplée. Pour ce faire, il suffit de se rendre dans les Réglages > Contrôles de la confidentialité > Utilisation des données agrégées. Mais le mieux reste sans conteste de passer en revue vos Paramètres de confidentialité afin de restreindre l’accès à vos données à vos seuls amis.
Source :
Bleeping Computer