Archives quotidiennes :

Cybersécurité, Entreprise

Les montres connectées trahissent les sous-marins nucléaires français

Une simple application de fitness révèle des informations sensibles sur l’une des bases militaires les plus protégées de France.

L’île Longue, base stratégique de la dissuasion nucléaire française, fait face à une faille inattendue : les montres connectées. L’application de fitness Strava, utilisée par des marins, a permis de révéler des détails sur les patrouilles de sous-marins nucléaires, remettant en cause les mesures de sécurité.

La base de l’île Longue : un site ultrasensible mis en péril par la technologie grand public

Située dans la rade de Brest, l’île Longue est le cœur du dispositif de dissuasion nucléaire français. Depuis 1972, les sous-marins nucléaires lanceurs d’engins (SNLE) y stationnent avant de partir pour des missions en mer. Chacun de ces navires est capable de transporter jusqu’à 16 missiles nucléaires, incarnant une stratégie de dissuasion qui place la France parmi les grandes puissances nucléaires mondiales.

L’accès à cette base militaire est strictement contrôlé. Plus de 2 000 employés y travaillent, soumis à une identification obligatoire et à des mesures de sécurité strictes. Les appareils électroniques, notamment les smartphones, y sont interdits pour limiter les risques d’espionnage. Pourtant, malgré ces précautions, les montres connectées ont permis une fuite d’informations préoccupante.

L’application Strava, plébiscitée par des millions de sportifs dans le monde, enregistre et partage automatiquement les parcours réalisés par ses utilisateurs. Sur l’île Longue, plusieurs marins utilisaient ces montres pour suivre leurs performances sportives. Ces données, lorsqu’elles étaient partagées publiquement, ont offert des indices sur l’activité des sous-marins.

Un exemple frappant est celui de « Paul », un pseudonyme utilisé pour protéger l’identité d’un marin. En 2023, il a partagé 16 sessions de course à pied réalisées sur la base, près des docks des sous-marins. Son absence d’activité pendant deux mois, suivie d’un retour soudain, correspondait à une période de patrouille d’un sous-marin. Ces informations, croisées avec les activités d’autres marins, ont permis à des observateurs de reconstituer des mouvements sensibles.

Une problématique récurrente pour les forces armées

L’incident de l’île Longue n’est pas un cas isolé. Les applications de fitness, populaires parmi les militaires, ont déjà suscité des controverses similaires. En 2018, une carte thermique publiée par Strava a révélé les trajets de soldats américains autour de bases secrètes en Afghanistan et en Syrie.

Dans une autre affaire, en Russie, Stanislav Rjitski, capitaine de sous-marin, a été localisé puis assassiné à Krasnodar. Ses déplacements avaient été repérés via ses publications Strava, rendant possible une attaque ciblée.

Ces exemples montrent à quel point les technologies grand public peuvent devenir des outils involontaires de renseignement pour des acteurs malveillants. Le problème ne réside pas uniquement dans les applications elles-mêmes, mais aussi dans l’usage imprudent qu’en font les utilisateurs.

Sur l’île Longue, l’enquête a révélé qu’environ 450 utilisateurs de Strava ont été actifs sur la base au cours des 10 dernières années. Les données partagées, bien qu’anodines au premier abord, ont fourni des informations cruciales pour quiconque souhaite analyser les mouvements des sous-marins ou les habitudes des marins.

Les mesures envisagées face aux failles constatées

Bien que la marine française n’ait pas officiellement communiqué sur des actions spécifiques concernant l’utilisation des montres connectées, des incidents similaires survenus dans d’autres armées ont généralement conduit à des révisions des politiques de sécurité. La possibilité d’interdire l’utilisation des appareils connectés ou de restreindre davantage les paramètres de confidentialité est régulièrement évoquée dans des contextes similaires.

Le rapport initial, publié par Le Monde et relayé par le Daily Mail, indique que ces incidents résultent davantage d’une imprudence individuelle que d’une faille technologique pure. Ce manque de vigilance soulève des questions sur la sensibilisation des marins à ces risques numériques. Et ce n’est pas la première fois !

D’autres cas « d’espionnage »

La carte de chaleur de Strava révélant des bases militaires

En novembre 2017, Strava a publié une « Global Heatmap » qui visualisait deux années de données d’activités de ses utilisateurs. En janvier 2018, il a été découvert que cette carte mettait en évidence des bases militaires secrètes, y compris des bases américaines en Syrie et des bases avancées en Afghanistan. Ces informations ont suscité des préoccupations concernant la confidentialité et la sécurité des données des utilisateurs.

Identification de soldats israéliens via Strava (2024)

En novembre 2024, une enquête menée par des journalistes du journal Le Monde a révélé qu’un individu avait pu extraire méthodiquement les profils de milliers de soldats israéliens à partir de l’application Strava. En simulant de fausses activités sur des bases militaires et des sites sensibles, cette personne a réussi à identifier les militaires actifs dans ces lieux, retraçant ainsi leurs déplacements grâce aux données géolocalisées de Strava. Cette faille de sécurité a conduit le ministère de la Défense israélien à ouvrir une enquête.

Exposition des mouvements de dirigeants mondiaux

En octobre 2024, une enquête du journal Le Monde a révélé que l’application Strava avait involontairement exposé les mouvements de personnalités de haut niveau, notamment le président américain Joe Biden, l’ancienne première dame Melania Trump, et d’autres dirigeants mondiaux. Des agents de sécurité utilisant l’application ont partagé leurs itinéraires d’entraînement, permettant ainsi de déduire les emplacements et les déplacements des personnalités protégées. Le Secret Service américain a déclaré qu’aucune mesure de protection n’avait été compromise, tout en révisant ses politiques internes.

Cybersécurité, Entreprise

Une fuite de données chez Loading hébergement.

Une fuite de données a exposé les informations de 220 000 utilisateurs en Espagne, compromettant des données personnelles et des détails de projets clients hébergés par l’entreprise Loading.

Le 14 janvier 2025, une importante fuite de données a été découverte par le Service veille ZATAZ, impliquant Loading, un fournisseur de services d’hébergement basé en Espagne. Cette base de données comprend les informations personnelles et professionnelles de 220 000 utilisateurs, réparties sur 356 435 lignes. Le fichier constitué par le pirate contient des détails critiques comme les adresses électroniques, les numéros de téléphone, les commentaires clients et des informations relatives aux projets. Ce nouvel incident met une fois de plus en lumière les défis posés par la sécurité des données dans le domaine de l’hébergement web. Explorons les détails et les implications de cette fuite.

Une fuite ciblant les utilisateurs et projets clients

La base de données compromise contient des informations très spécifiques, offrant une vue d’ensemble des projets et des utilisateurs concernés. Voici une décomposition des données exposées :

Données personnelles :

Nom complet : Identité des utilisateurs.
Adresse e-mail : Points d’entrée majeurs pour des attaques de phishing.
Numéro de téléphone : Utilisable pour des arnaques téléphoniques ou des campagnes malveillantes.

Détails des projets :

Type de projet : Catégorisation des projets hébergés (e-commerce, éducatif, etc.).
Nombre de pages web : Données exploitables pour évaluer la taille et la portée des projets.
Détails marketing : Informations liées aux campagnes publicitaires META et SEM (ex. : mots-clés, types de dispositifs utilisés).

Données techniques et géographiques :

Adresses IP et URLs spécifiques : Permettent d’identifier l’origine des utilisateurs et les pages consultées.
Géolocalisation : Informations sur les villes, codes postaux et pays d’origine des utilisateurs.
Traçabilité des interactions : Horaires de contact, outils CRM utilisés, et plateformes marketing associées.

Le prix de cette base, mise en vente pour seulement 500 $, rend ces données accessibles à des acteurs malveillants prêts à exploiter des informations précieuses pour du phishing ou d’autres cyberattaques.

Qui est Loading et quel est son rôle dans le marché espagnol ?

Loading est une entreprise espagnole bien établie dans le domaine de l’hébergement web. Créée pour répondre aux besoins des entreprises et des particuliers en matière de gestion de sites internet, Loading propose des solutions variées, notamment dans l’hébergement mutualisé ; Serveurs dédiés et VPS ainsi que les solutions cloud.