Evitez les fuites : paramétrez la confidentialité de vos comptes (pas que Strava)

Encore plus de contenu sur les réseaux sociaux : Youtube pour les vidéos, Facebook pour les échanges, Instagram pour les tests en cours et Twitter pour les nouvelles des marques. Abonnez-vous.

Vous êtes libre de cliquer ICI pour passer commande chez mon partenaire i-Run quel que soit ce que vous voulez commander. Ca ne vous coûtera pas plus cher, c’est livré en 24h et c’est une bonne façon de supporter le blog.

Est-ce que vous avez envie que tout le monde sache où vous habitez ? Où et quand vous allez courir ? En 2018, un étudiant australien est arrivé à localiser des sites secrets de la CIA grâce à la heatmap de Strava. En 2022, Médiapart a réussi à identifier plus de 1000 profils de militaires grâce à leurs profils Strava, Instagram et Facebook. Et puis même les ‘pro’ se font prendre : les agents du Mossad, les gardes du corps du président de la république Macron et les marins des sous-marins nucléaires lanceurs d’engin.

Le hashtag #stravaleaks existe désormais sur X.

Malgré ces enquêtes, tout le monde n’a visiblement pas encore réalisé qu’avec une application comme Strava (ou une montre GPS qui transfère ses données vers Strava), on partage des données personnelles sur Internet. Et que du coup, si on n’y fait pas attention, elles sont accessibles par tout le monde.

Je vais vous expliquer comment sécuriser vos données personnelles sur les applis de sport comme Strava. Car vous allez voir que tous les outils existent pour assurer la confidentialité de vos données personnelles moyennant quelques petits réglages. Après, il faudra être un hackeur pour arriver à les récupérer (et c’est beaucoup plus compliqué).

2018 : le premier Stravagate

Tout est parti d’un tweet d’un Australien qui a décortiqué les heatmaps de Strava à la recherche de bases militaires dans les zones d’opération de l’armée américaine.

En effet, en Irak, en Syrie ou au Yemen, il doit y avoir bien peu de locaux qui possèdent une montre GPS ou qui font du footing dans le désert avec l’application Strava. Même si les données des heatmaps sont anonymisées (on ne peut pas identifier qui est passé par où), on peut en déduire que les quelques traces qu’on observe dans ces zones sont produites par des militaires. Oui, au fil du temps, on peut ainsi déceler des habitudes de mouvement (pas de mouvements en direct) de militaires.

A partir de là, de prétendues bases secrètes à la fuite d’informations secret défense, les médias sont partis dans une surenchère de titres racoleurs.

Strava a été pointé du doigt. Mais c’est plus un problème d’utilisateur. Vous allez voir ci-dessous que Strava et toutes les autres applications de sport fournissent tous les outils nécessaires pour assurer la confidentialité de vos données personnelles. Il faut juste faire les bons réglages.

2018 : les premières Strava leaks de l’armée française

Des militaires français compromettent la sécurité de leurs opérations sur les réseaux sociaux.

2022 : les agents du Mossad pistés sur Strava

2024 : les gardes du corps du président de la république Macron

La sécurité de Macron, Biden et Poutine compromise par leurs gardes du corps : le premier épisode de notre enquête « StravaLeaks ».

2025 : les marins des SNLE

« StravaLeaks » : des dates de patrouilles des sous-marins nucléaires français dévoilées par l’imprudence de membres d’équipage.

La confidentialité des données sur Strava

On va commencer par la source du scandale. Mais je vous rappelle que ce n’est pas la seule source de fuite des données. Ca ne sert à rien de sécuriser votre profil Strava si vous n’avez pas déjà sécurisé l’application de votre montre GPS (Garmin Connect, Polar Flow, COROS, Suunto, etc).

Sur l’application Strava, on accède aux réglages de confidentialité en cliquant sur l’icône de profil en haut à gauche puis sur la roue crantée en haut à droite.

Il faut ensuite descendre dans les Paramètres, Préférences (faut descendre un peu), puis tout va se jouer dans les Contrôles de la confidentialité.

Dans le haut de la page, on va pouvoir choisir qui pourra consulter quoi sur notre profil sportif. A chaque fois, on a le choix entre 3 options :

• Tout le monde, le profil est public (option la moins sécurisée)
• Abonnés, le profil n’est visible que par les abonnés qu’on a (évidemment) soigneusement sélectionnés
• Vous uniquement, le profil est privé (option la plus sécurisée)

Pour éviter les Stravaleaks, il faut commencer par masquer les activités. C’est ce qui évitera de voir vos traces GPS. Dans mon cas, mes abonnés (2 personnes) peuvent voir mes activités, mais on verra plus loin qu’un autre réglage permet de masquer les points de départ et d’arrivée (ce qui permet de conserver secret mes lieux d’habitation et de travail).

Dès lors que vos activités ne sont pas publiques (si vous avez opté pour l’option Abonnés ou Vous uniquement), votre nom n’apparaitra pas non plus dans les classements des segments qui pourrait se trouver sur l’itinéraire que vous avez emprunté (car si vous masquez votre trace GPS mais que votre nom apparait dans un segment sur une base militaire, vous avez dévoilé votre métier).

Il faut également prêter une attention particulière aux Local legends. Ca correspond à un classement réalisé sur chaque segment de Strava basé non pas sur la performance (les meilleurs chrono) mais sur le nombre de fois où on a emprunté ce segment. Cette information dévoile quelque peu vos habitudes.

Ensuite, si on descend, on peut encore accéder à des Contrôles supplémentaires.

Là, on va commencer par la Visibilité de la carte. Si d’aventure vous aviez choisi de laisser vos activités publiques ou visibles par vos abonnés, vous pouvez ici limiter ce qui sera visible sur la carte de votre activité.

La première option permet de renseigner une adresse et une distance, en vue de masquer les morceaux de trace GPS à l’intérieur de ce cercle de confidentialité. Une bonne idée si vous voulez partager vos activités tout en restant discret sur le lieu de votre domicile (ou de votre base militaire). Le reste de la trace sera visible. On peut choisir le rayon du cercle et notez qu’il n’est pas centré sur l’adresse précise, afin qu’un petit malin ne puisse pas la trouver tout simplement en cherchant le centre du cercle dans lequel il ne voit jamais de trace GPS.

NB : ça ne sert à rien de venir un dimanche matin avec des viennoiseries, je n’habite plus à cette adresse.

La deuxième option permet de cibler plus large en créant un cercle de confidentialité qui va masquer le départ et l’arrivée de toutes vos activités, où que vous vous trouviez. Là aussi, on peut choisir le rayon du cercle à l’intérieur duquel aucune trace GPS ne sera visible, tout en laissant le reste des traces visibles.

La troisième option permet de masquer complètement les cartes de vos activités. Si votre profil est public, les gens pourront consulter les reste des informations (le chrono, la distance, etc), mais aucune donnée permettant de vous géolocaliser.

Dans les détails masqués, ça peut être intéressant de masquer l’heure de début de vos activités, pour ne pas dévoiler vos habitudes de type ‘il part courir tous les lundi à 8 heures’.

Si vous ne voulez pas que vos traces GPS, même anonymisées, soient utilisées pour créer des cartes de chaleur, alors il va falloir décocher l’autorisation d’utilisation des données agrégées. Pour un militaire, c’est important pour ne pas révéler des itinéraires de footing habituels dans un pays où la population locale utilise peu les montres GPS. Même si on ne saura pas que c’est vous, on saura que des militaires passent pas là, ce qui est déjà une faille en soi.

Dans votre fil d’actualité, un logo indique clairement le statut de chacune de vos activités. Cadenas fermé = activité privée / petits bonshommes = activité visible.

Si votre profil est privé mais que vous voulez quand même partager la dernière course que vous avez faite le week-end dernier, vous pouvez modifier manuellement la confidentialité d’une activité (et rien que celle-là). Vous pouvez le faire si vous voulez spécifiquement apparaitre dans le classement d’un segment particulier que vous avez couvert avec cette activité (mais pas les autres). Cliquez sur l’activité, sur les 3 petits points en haut à droite, puis sur Modifier l’activité. Vous pourrez à ce moment-là changer la confidentialité juste pour cette activité.

La confidentialité des données sur Garmin Connect

Sur Garmin Connect, on peut faire quelques réglages de confidentialité depuis l’application. On commence par cliquer sur l’image de son profil (en haut à gauche), puis sur Paramètres.

Dans les paramètres, on va dans Profil/Confident.

Comme avec Strava, on va pouvoir choisir qui pourra consulter quoi sur notre profil. A chaque fois, on a le choix entre 4 options :

• Tout le monde, le profil est public (option la moins sécurisée)
• Mes contacts et mes groupes, le profil est visible par les abonnés mais aussi les membres des groupes dont on fait partie
• Mes contacts, le profil n’est visible que par les abonnés qu’on a (évidemment) soigneusement sélectionnés
• Seulement moi, le profil est privé (option la plus sécurisée)

Pour éviter les fuites, il faut masquer les activités. C’est ce qui évitera de voir vos traces GPS. Comme avec Strava, on verra plus loin qu’un autre réglage permet de masquer les points de départ et d’arrivée (ce qui permet de conserver secret mes lieux d’habitation et de travail) mais qu’il faut passer par l’interface web, ces réglages n’étant pas accessibles depuis l’application.

On peut éventuellement choisir des paramètres de confidentialités différenciés en fonction du type d’activité. Au moment de changer la confidentialité de vos activités, pensez à aller tout en bas dans Mettre à jour les activités passées pour appliquer votre nouveau choix à toutes vos activités et pas seulement aux prochaines.

Un peu plus bas dans les réglages de confidentialité du profil, on a accès à différentes options sur la gestion des données. Ici, le paramètre intéressant concerne le Téléchargement à partir de l’appareil. Le fait de cocher cette option va faire que votre montre restera ‘connectée’ (elle continuera de recevoir les mises à jour, par exemple), mais elle ne transférera plus les données d’activité vers les serveurs de Garmin Connect. Vous pourrez toujours consulter vos données d’entrainement sur votre montre, mais plus sur Garmin Connect.

La dernière option, à décocher cette fois pour un militaire, concerne la contribution des traces GPS aux cartes de chaleur (itinéraires populaires), dans l’optique de ne pas dévoiler des itinéraires populaires sur les bases militaires (par exemple) ou plus généralement des habitudes que même des données anonymisées peuvent révéler.

La suite se passe sur l’interface web de Garmin Connect, soit depuis un ordinateur ou le navigateur web de votre smartphone. On clique sur la photo de profil (en haut à droite) puis Paramètres du compte.

On va ensuite dans les Paramètres de confidentialité.

On retrouve ici tous les paramètres de l’application, plus 2 choses : les classements des segments et les zones de confidentialité.

Si vous vous préoccupez de la confidentialité de vos données, parce que c’est pas tout de masquer vos traces GPS, si votre nom apparait dans le classement d’un segment sur une base militaire, vous avez dévoilé votre métier…

Tout en bas, on peut créer des zones de confidentialité.

On peut ici saisir une adresse et créer une zone de confidentialité dans laquelle toutes les traces GPS seront masquées. Le rayon de la zone est réglage, de ‘petit’ à ‘grand’. on peut bien sûr créer plusieurs zones (1 pour sa maison, 1 pour son boulot, etc).

La confidentialité des données sur l’appli Suunto

Ouvrez l’application Suunto, cliquez sur le petit bonhomme dans le bandeau en bas à droite, puis sur Paramètres.

Cliquez ensuite sur Confidentialité.

Là, c’est simple (mais efficace). La première chose à faire, c’est de demander à valider manuellement les demandes d’abonnés. Ensuite, vous avez 3 choix pour restreindre la consultation de vos données, qui s’appliqueront à l’ensemble de votre compte :

• Public
• Abonnés
• Privé

La confidentialité des données sur Polar Flow

Après vous être identifié sur Polar Flow, cliquez sur votre photo de profil (ou le rond gris avec une silhouette si vous n’en avez pas mise) puis sur Réglages.

Allez dans l’onglet Confidentialité.

Puisque Polar n’a pas d’outil cartographique pour visualiser les traces GPS d’autres utilisateurs et qu’il n’y a aucun moyen de partager des enregistrements avec d’autres personnes, ça limite naturellement les possibiltiés de consultation de vos données.

Donc les options sont plus du type RGPD, avec lesquelles vous acceptez que Polar exploite vos données, y compris depuis un pays qui n’est pas le vôtre.

La confidentialité des données sur l’appli Coros

Dans l’application Coros, personne ne peut voir sos traces GPS. Donc c’est réglé.

La confidentialité des données sur Fitbit

La grande majorité des bracelets et montres Fitbit sont dépourvus de puce GPS. Ceux-là posent donc moins de problème puisqu’ils ne permettent pas de faire de géolocalisation.

Après vous être connecté, cliquez sur l’écrou en haut à droite puis sur Paramètres dans le menu déroulant.

Dans le bandeau sur la gauche, cliquez sur Confidentialité.

Chez Fitbit, on peut faire plein de paramétrage mais tout n’est pas totalement masquable. On peut choisir le niveau de confidentialité de 6 paramètres personnels, 3 statistiques et 5 graphiques :

• Privé
• Amis uniquement
• Public

Mais mais mais, le nombre de pas quotidien moyen ne peut pas être conservé en privé. Le nombre de pas, c’est un peu le fond de commerce de Fitbit. Cette donnée, on peut la restreindre aux amis (j’ai pas d’amis sur mon compte Fitbit), mais on ne peut pas le cacher totalement. On peut en déduire qu’il est utilisé dans les calculs de statistiques que fait Fitbit chaque année (quel est le pays le plus actif, quel est le jour de l’année le plus actif, etc).

La confidentialité des données sur TomTom Sports

Après vous être connecté à TomTom Sports, cliquez sur votre nom/pseudo dans le bandeau en haut à droite, puis sur Réglages dans le panneau déroulant.

On commence par l’onglet Préférences. Tout en bas, décochez Aidez-nous à nous améliorer si vous ne voulez pas partager vos données de façon anonyme avec TomTom.

Ensuite, il faut aller dans l’onglet Gérer le compte puis sur Gérer mes données. Cliquez sur Annuler le partage de toutes les activités si vous ne voulez plus partager vos anciennes activités.

Il n’y a pas moyen de conserver toutes vos données privées. OK, TomTom détaille toute sa politique de confidentialité, mais j’aurais aimé pouvoir gérer la sécurité sur la vie privée de façon plus explicite.

La confidentialité des données sur Décathlon Coach

Une fois connecté à votre compte, cliquez sur votre prénom/pseudo puis sur Mes préférences dans le menu déroulant.

Par défaut, aucun partage n’est activé. Si vous voulez apparaitre dans les classements ou partager vos activités avec vos amis, alors vous devez cocher 1 ou 2 cases.

La confidentialité des données sur Runkeeper

Après vous être connecté à votre compte (je crois que c’est la première fois que je me connecte à Runkeeper sur un ordinateur, j’ai même pas réussi à le mettre en français), cliquez sur l’écrou à droite dans le bandeau du haut puis Account settings.

Dans le bandeau à droite, cliquez sur Promotions and privacy. Tout en bas, vous n’avez qu’une case à cocher pour rendre votre compte privé.

Si vous ne voulez pas être aussi radical, vous pouvez aller dans Sharing pour régler plusieurs paramètres de manière indépendante :

• Activités
• Cartes d’activité
• Rapports
• Activité quotidienne
• Mesures physiques
• Poids
• Nutrition
• Diabète
• Sommeil

A chaque fois, vous pouvez choisir si la catégorie est visible :

• uniquement par vous (privé)
• par tout le monde (public)
• seulement par vos amis