7 kilomètres en 35 minutes, sur un rectangle de métal au milieu de la Méditerranée. Le 13 mars, un jeune officier de la marine nationale a couru sur le pont d’envol du porte-avions Charles de Gaulle en enregistrant ses performances sur Strava, l’application sportive préférée des coureurs. Son profil étant public, n’importe qui pouvait consulter sa position exacte : au large de Chypre, à une centaine de kilomètres des côtes turques. En pleine guerre contre l’Iran.
L’information, révélée par Le Monde le 19 mars, est d’autant plus embarrassante que le quotidien avait déjà publié une enquête baptisée « StravaLeaks » sur des failles similaires. Le ministère des Armées connaît le problème. Les consignes existent. Et pourtant, un simple footing a suffi à trahir la position du navire amiral français.
Un itinéraire complet en accès libre
Ce qui rend cette fuite particulièrement grave, ce n’est pas seulement la localisation ponctuelle du navire. En remontant l’historique des activités de l’officier sur Strava, on peut reconstituer l’itinéraire complet du groupe aéronaval. Le 14 février, une session de course le situe au large du Cotentin. Le 27 février, en mer Baltique, où le Charles de Gaulle participait à des exercices de l’OTAN. Puis le passage du détroit de Gibraltar, signalé par l’état-major le 6 mars. Et enfin, le 13 mars, la position au nord-ouest de Chypre.
En clair, quiconque surveillait ce profil Strava pouvait suivre quasiment en temps réel les déplacements du seul porte-avions français et de son escorte, composée d’au moins trois frégates et d’un ravitailleur, rapporte BFM TV.
Un contexte qui rend la faille dangereuse
La présence du Charles de Gaulle en Méditerranée orientale n’est certes pas secrète. Emmanuel Macron avait lui-même annoncé le 3 mars son redéploiement depuis la Baltique, quelques jours après le déclenchement des opérations américano-israéliennes contre l’Iran le 28 février. Mais connaître la zone générale et disposer de coordonnées GPS précises sont deux choses très différentes.
Le contexte opérationnel rend cette négligence d’autant plus préoccupante. Deux bases militaires françaises dans la région ont été touchées par des frappes iraniennes depuis le début du conflit. Les Émirats arabes unis, le Koweït et l’Arabie saoudite subissent des attaques de missiles quasi quotidiennes. Dans ce climat, un porte-avions dont on connaît les coordonnées exactes devient une cible beaucoup plus vulnérable.
Contacté par Le Monde, l’état-major a reconnu que cette pratique n’était « pas conforme aux consignes » et a assuré que des « mesures adaptées » seraient prises par le commandement.
Strava et les armées : huit ans de problèmes
Ce n’est pas la première fois qu’une application de sport compromet des opérations militaires. En janvier 2018, Strava avait publié une carte thermique mondiale agrégant les parcours de ses 27 millions d’utilisateurs à l’époque. Des analystes avaient rapidement identifié des schémas d’activité physique au milieu de zones désertiques en Afghanistan, en Irak et en Syrie, révélant l’emplacement et les contours précis de bases militaires secrètes occidentales.
La découverte avait provoqué un séisme dans les communautés de défense. Le Pentagone avait immédiatement interdit l’usage de trackers GPS sur les théâtres d’opérations. Plusieurs armées européennes avaient émis des directives similaires. En France, des consignes avaient été diffusées pour que les militaires désactivent le partage de position ou, au minimum, passent leurs profils en privé.
Huit ans plus tard, le problème persiste. Et ce n’est pas un cas isolé. Le Monde avait déjà documenté, dans ses précédentes enquêtes « StravaLeaks », comment les profils d’agents des services de renseignement, de gardes du corps présidentiels et de militaires en mission pouvaient être identifiés et suivis grâce à leurs données sportives.
Un profil public suffit
Le fonctionnement de Strava est simple. L’application enregistre le tracé GPS de chaque activité sportive : course, vélo, marche. Si l’utilisateur a un profil public, ces données sont accessibles à tous. N’importe qui peut voir quand, où et à quelle vitesse il s’est déplacé. Sur un navire en mer, le résultat est sans ambiguïté : les allers-retours sur le pont dessinent un rectangle caractéristique, impossible à confondre avec un footing en ville.
Strava propose bien des options de confidentialité. Un profil peut être rendu privé. Les zones de départ et d’arrivée peuvent être masquées. Mais ces réglages sont optionnels et désactivés par défaut. L’application, qui compte plus de 100 millions d’utilisateurs inscrits, est conçue pour le partage social, pas pour la discrétion.
Le facteur humain, maillon faible permanent
La faille n’est pas technologique. Aucun système n’a été piraté, aucune donnée n’a été volée. Un homme a simplement oublié, ou choisi d’ignorer, une consigne de sécurité élémentaire. C’est ce qui rend le problème si difficile à éradiquer : il suffit d’un seul profil oublié parmi les milliers de marins, soldats et agents déployés pour compromettre une position.
Certaines armées ont opté pour des mesures radicales. Depuis 2018, plusieurs unités américaines confisquent les montres connectées et smartphones personnels avant les déploiements. D’autres utilisent des brouilleurs GPS dans les zones sensibles. La France, elle, s’en est tenue aux consignes individuelles, avec les résultats que l’on constate.
Le Charles de Gaulle poursuit actuellement sa mission en Méditerranée orientale. Le successeur de ce navire, le porte-avions nouvelle génération « France Libre », n’est attendu qu’à l’horizon 2038. D’ici là, la marine devra trouver un moyen de protéger sa flotte d’un ennemi inattendu : les montres connectées de ses propres officiers.
