StravaLeaks 2026 : analyse d'une faille OPSEC persistante
Comment l'application Strava permet de geolocaliseer des actifs militaires en temps reel. Analyse technique de la faille, vecteurs d'exploitation et contre-mesures.
L'OPSEC a l'epreuve des applications grand public
Le 20 mars 2026, Le Monde a publie une nouvelle enquete StravaLeaks demontrant que la position du porte-avions Charles de Gaulle pouvait etre localisee en temps reel via l'application de fitness Strava. Deux ans apres les premieres revelations, la faille de securite operationnelle reste beante.
Anatomie de la faille
Le vecteur d'attaque repose sur une chaine de donnees simple mais redoutablement efficace. Un marin enregistre une session de course sur le pont du navire via une montre connectee. La montre transmet les coordonnees GPS a l'application Strava. Si le profil est configure en mode public (le reglage par defaut), les donnees de geolocalisation deviennent accessibles a quiconque consulte le profil.
Le 13 mars 2026, un officier identifie sous le pseudonyme Arthur a enregistre un parcours de 7 km en 35 minutes sur le pont d'envol du Charles de Gaulle. Les coordonnees GPS correspondaient a une position au nord-ouest de Chypre, a environ 100 km de la cote turque.
Surface d'attaque et donnees exploitables
L'API publique de Strava expose plusieurs types de donnees exploitables dans un contexte de renseignement :
Les traces GPS brutes fournissent latitude, longitude et horodatage avec une precision de l'ordre du metre. Les metadonnees associees incluent la vitesse moyenne, le denivele, la frequence cardiaque. Les profils publics revelent historique d'activites, clubs et relations sociales entre athletes.
En croisant ces donnees avec des informations OSINT (Open Source Intelligence), il est possible de dresser un tableau complet. Identification des membres d'equipage, reconstitution des mouvements du navire sur plusieurs jours, estimation de la composition du groupe aeronaval par triangulation des profils.
Contexte strategique
Le Charles de Gaulle naviguait vers le Moyen-Orient suite a la decision presidentielle du 3 mars 2026, dans un contexte de tensions Iran-Israel-Etats-Unis. Le groupe aeronaval comprend au minimum trois fregates (dont deux de defense aerienne et une FREMM) et le batiment ravitailleur Jacques Chevallier.
La connaissance en temps reel de la position d'un tel dispositif constitue un avantage tactique majeur pour tout adversaire. Elle permet d'adapter le positionnement de sous-marins, de calibrer des trajectoires de missiles antinavires, ou simplement de planifier des operations d'evitement.
Historique de StravaLeaks
Les premieres revelations de Le Monde sur ce sujet datent de 2024. L'enquete avait identifie des agents du Secret Service americain, des gardes du corps de chefs d'Etat (dont Macron et Poutine) et des agents de renseignement (CIA, FSB, GRU) dont les mouvements etaient tracables via Strava.
La heatmap globale de Strava, publiee en 2018, avait deja revele l'emplacement de bases militaires secretes en Syrie, en Afghanistan et en Afrique. En 2026, malgre les alertes repetees, aucune interdiction formelle d'usage n'a ete mise en place dans la Marine nationale.
Vecteurs d'exploitation avances
Au-dela de la consultation manuelle, plusieurs techniques d'exploitation sont envisageables. Le scraping automatise de l'API Strava permet de monitorer en continu les profils identifies comme militaires. Le croisement avec des bases de donnees LinkedIn ou Facebook facilite l'identification des personnels. Les algorithmes de clustering geospatial peuvent regrouper automatiquement les activites provenant d'un meme navire.
Des services de renseignement sophistiques peuvent automatiser l'ensemble de cette chaine pour obtenir une surveillance quasi temps reel des mouvements navals.
Contre-mesures techniques
Plusieurs niveaux de protection sont applicables. Au niveau individuel, la configuration du profil en mode prive, la desactivation du GPS pendant les missions et l'utilisation de zones de confidentialite Strava (qui masquent les coordonnees autour d'un point defini) constituent des mesures de base.
Au niveau institutionnel, l'interdiction des appareils connectes a bord des batiments en mission, le brouillage GPS localise et la mise en place de politiques BYOD (Bring Your Own Device) strictes sont des options plus robustes.
L'armee israelienne interdit formellement l'usage de Strava en zone operationnelle depuis 2018. L'OTAN a emis des recommandations similaires. La France n'a toujours pas legifere sur la question.
Implications pour la securite des donnees personnelles
Cette affaire depasse le cadre militaire. Elle illustre le risque generique que representent les applications de tracking pour la vie privee de tous les utilisateurs. Si un porte-avions peut etre localise via Strava, les mouvements quotidiens de n'importe quel citoyen le peuvent aussi.
Les donnees de geolocalisation collectees par les applications de fitness, les reseaux sociaux et les services de navigation constituent un gisement de renseignement que ni les Etats ni les individus ne protegent suffisamment.
À lire aussi
Un marin localise le Charles de Gaulle via Strava
Le Monde a retrouve la position exacte du porte-avions francais grace a l'appli de sport Strava. Une faille de securite qui persiste malgre les alertes.
Oracle publie un patch d'urgence pour une faille critique
Oracle corrige en urgence une vulnérabilité critique dans Identity Manager permettant une prise de contrôle à distance sans mot de passe.
CVE-2026-21992 : RCE critique dans Oracle Identity Manager
Oracle publie un correctif hors cycle pour CVE-2026-21992, faille RCE non authentifiée (CVSS 9.8) dans Identity Manager et Web Services Manager.