« StravaLeaks » : Le Monde localise en temps réel le porte-avions français via une application de fitness

 (lemonde.fr)
2 points par GN⁺ 2026-03-21 | 1 commentaires | Partager sur WhatsApp
  • Un officier de la marine française a téléversé sur son profil public de l’application de fitness Strava ses données d’entraînement, exposant en temps réel la position exacte du porte-avions Charles de Gaulle en opération en Méditerranée
  • Le Monde a recoupé ces données avec des images satellite et a confirmé la position du porte-avions au nord-ouest de Chypre, à environ 100 km des côtes turques
  • Dans le contexte de la guerre au Moyen-Orient, alors que des groupes liés à l’Iran ont déjà attaqué deux bases militaires françaises, la publication de ces données de localisation constitue une grave menace de sécurité
  • Après le problème de l’usage de Strava par les gardes du corps présidentiels à l’automne 2024 et la fuite du calendrier de patrouille d’un sous-marin nucléaire en janvier 2025, la même faille de sécurité se répète
  • L’état-major des armées françaises a reconnu qu’il s’agissait d’une violation des consignes en vigueur, mais sans amélioration structurelle du dispositif de sécurité numérique, le même problème risque de se reproduire sur le prochain porte-avions

Aperçu de l’incident : exposition de la position du porte-avions via Strava

  • Le 13 mars à 10 h 35, un officier de la marine française surnommé « Arthur » a couru environ 7 km en 35 minutes sur le pont du navire, un exercice enregistré avec sa smartwatch puis publié publiquement sur Strava
  • Comme le profil Strava était réglé sur « public », n’importe qui pouvait vérifier presque en temps réel la position exacte du porte-avions à partir de cet entraînement
  • Le Monde a ainsi confirmé que le Charles de Gaulle se trouvait au nord-ouest de Chypre, en Méditerranée, à environ 100 km des côtes turques
  • Le groupe aéronaval français comprend, outre le porte-avions, au moins trois frégates et un navire de soutien

Contexte : déploiement au Moyen-Orient et risques de sécurité

  • Le 3 mars, le président Macron a ordonné le déploiement au Moyen-Orient, une décision prise juste après les frappes israéliennes et américaines contre l’Iran
  • Le Charles de Gaulle devait initialement opérer jusqu’en mai en mer Baltique dans le cadre d’un exercice de l’OTAN, mais sa mission a été réorientée en urgence
  • Le 6 mars, les autorités françaises ont officiellement annoncé son passage par le détroit de Gibraltar
  • Dans la région, au moins deux bases militaires françaises ont été attaquées par des groupes liés à l’Iran, et une attaque de drone dans le nord de l’Irak a fait un mort et six blessés parmi les soldats français
  • Dans un tel contexte, téléverser les données de position précises du porte-avions sur un site web public relève d’une négligence dangereuse

Recoupement des données : confirmation par images satellite

  • Le Monde a suivi le trajet du Charles de Gaulle à partir des données Strava d’Arthur
    • 14 février : entraînement enregistré au large de la péninsule du Cotentin, en France
    • 26-27 février : alors que le porte-avions était amarré à Malmö, en Suède, Arthur a enregistré une activité à terre à Copenhague, au Danemark
    • 13 mars : activité en Méditerranée au nord-ouest de Chypre
  • Une image satellite prise environ une heure plus tard montre clairement la silhouette du porte-avions long de 262 m
  • Le tracé de course forme des cercles sur un navire en mouvement, à environ 6 km du point de prise de vue satellite
    • Deux possibilités existent : soit Arthur a couru sur le porte-avions avant que celui-ci ne se déplace, soit il se trouvait à bord de l’un des navires d’escorte

Découverte supplémentaire : plusieurs profils Strava exposés

  • Outre Arthur, au moins une autre personne disposant d’un profil Strava public a publié depuis un navire en opération des entraînements contenant des informations de localisation
  • Certains profils publics incluaient aussi des photos du pont du navire, d’autres militaires, ainsi que des équipements de fitness installés à bord

Réponse de l’état-major des armées françaises

  • L’état-major a déclaré que la publication publique de l’itinéraire de course sur Strava « n’était pas conforme aux consignes en vigueur »
  • Il a précisé que les marins « reçoivent régulièrement des rappels de ces consignes »
  • Il a souligné que l’« hygiène numérique » fait partie des prérequis de tous les déploiements
  • Il a ajouté que « le commandement prendra les mesures appropriées »

Fuites de sécurité StravaLeaks précédentes

  • À l’automne 2024, l’enquête « StravaLeaks » de Le Monde avait déjà révélé des failles de sécurité liées à l’usage de Strava par les gardes du corps des présidents français, américain et russe
    • Elle permettait d’identifier les agents et leurs familles, de suivre leurs déplacements, voire d’anticiper les itinéraires présidentiels
  • En janvier 2025, des membres d’équipage de sous-marins nucléaires lanceurs d’engins (SNLE) de la marine française ont exposé via Strava des informations sur le calendrier de patrouille de leurs sous-marins
    • La marine avait alors répondu qu’il s’agissait de « l’imprudence de certaines personnes », sans impact sur les activités de la base opérationnelle de l’Île Longue

Le prochain porte-avions et les défis restants

  • Le prochain porte-avions français, France Libre, doit remplacer le Charles de Gaulle vers 2038
  • Il pourra embarquer jusqu’à 40 aéronefs, avec trois catapultes et des équipements pour drones
  • Le président Macron a déclaré que sa construction mobiliserait « les meilleurs talents du pays, les expertises les plus rares et la vocation la plus exigeante »
  • Reste à savoir si les marins continueront à partager publiquement leurs entraînements ou passeront à des comptes privés, une question toujours non résolue

À lire aussi

1 commentaires

 
GN⁺ 2026-03-21
Avis Hacker News
  • Il y a environ 3 ans, un ancien commandant de sous-marin russe impliqué dans une frappe de missile qui a tué 23 civils ukrainiens est mort
    il a été rapporté que ses déplacements semblaient avoir été suivis via Strava
    Articles liés : reportage de CNN, enquête du GIJN utilisant Strava
  • Dans l'armée, ce type de fuite d'informations de localisation est courant
    il est difficile d'empêcher complètement les soldats d'utiliser leur téléphone et Internet, et cela vient le plus souvent de naïveté et du désir d'éviter les contraintes
    cela se produit encore en Ukraine
    • Il y a 15 ans, pendant un exercice de notre brigade, la force adverse (OPFOR) a triangulé l'emplacement du QG en utilisant Tinder
      ils ont utilisé la localisation au mile près de Tinder pour simuler un tir d'artillerie, et le commandant de brigade l'a très mal pris
    • Il existait autrefois un tracker d'activité qui publiait uniquement la position sans nom d'utilisateur
      des parcours rectangulaires sont apparus sur la carte de l'Irak, traces des joggings de militaires américains à l'intérieur de leur base
      ce n'était pas classifié, mais c'était un bon exemple de la facilité avec laquelle les données de localisation fuitent
    • Si même la hiérarchie n'utilise pas correctement des applis de communication sécurisée comme Signal, il est difficile d'en vouloir aux soldats
    • Même si l'on bloque le partage direct de position, la collecte d'informations via des data brokers peut rendre l'accès à Internet lui-même dangereux
    • Pendant les deux premières années de la guerre, la plupart des soldats qui enfreignaient ce type de règles ont été tués ou blessés
      récemment, le ministère russe de la Défense impose de lourdes sanctions aux soldats qui utilisent Telegram ou les réseaux ukrainiens près du front
  • On peut se demander si la position d'un porte-avions doit vraiment rester secrète
    j'imagine que c'est difficile à cacher aux satellites
    • Si un pays ennemi suit l'activité des comptes en ligne des militaires et recoupe grade, unité, spécialité, etc., il peut déduire bien plus qu'une simple position
      il est possible d'obtenir énormément d'informations même sans satellite
    • Selon un article de Naval Gazing, le secret sur la position d'un porte-avions n'est qu'une couche de survivabilité
      il faut le voir comme l'un des multiples moyens de défense plutôt que comme un camouflage total
    • Un porte-avions fait 17 000 m² et la hauteur d'un immeuble de 25 étages
      ce n'est pas quelque chose qu'on peut cacher, le rôle de la furtivité revient aux sous-marins
    • Les satellites de renseignement ne donnent pas du temps réel mais seulement une position datant de quelques heures
      à l'inverse, des données GPS en temps réel sont bien plus utiles pour guider des missiles
    • Si un compte Strava est relié à un membre précis d'équipage, il y a aussi un risque de suivre ses déplacements à terre
  • Les États-Unis ont déjà eu un cas de bases secrètes révélées par Strava
    (article du Guardian)
    je me demande si les porte-avions utilisent Internet par satellite, ou s'ils ne synchronisent qu'à proximité des côtes
    si c'est le premier cas, l'accès des applis devrait être limité par liste blanche
  • L'ancienne agente de la CIA Sarah Adams a abordé le sujet dans le podcast Your Phone Isn’t Safe Right Now
    elle y présentait 100 façons de réduire son empreinte numérique en voyage, en désignant les applis de fitness et de rencontre comme la principale menace
  • Je ne pense pas qu'il existe un pays incapable de détecter un porte-avions en Méditerranée
    ce n'est pas un navire furtif
    • C'est peut-être vrai en Méditerranée, mais dans l'océan ouvert, la détection est beaucoup plus difficile
      il est compliqué pour les satellites de surveiller toutes les zones maritimes en temps réel
    • Comme dans la disparition du MH370, même un énorme avion a été difficile à retrouver
      détecter un navire en mer n'a rien de simple
    • Ce serait bien plus étonnant si on avait retrouvé un sous-marin grâce à Strava
    • Déterminer une position via une API publique et utiliser des moyens satellitaires étatiques sont deux sujets totalement différents
      la plupart des pays ne disposent pas de satellites de reconnaissance
    • Ces derniers temps, des réseaux de satellites privés comme Planet Labs permettent aussi un certain niveau de suivi, mais cela reste limité
  • Comme le dit l'expression “Loose lips sink ships”, un usage imprudent du téléphone portable peut aussi faire couler des navires
    • Strava a probablement fonctionné via un point d'accès Internet à bord
      le service informatique de la marine française devrait gérer les applis à risque via une politique de blocage
    • On ne sait jamais quels logiciels sont installés sur les téléphones personnels, et une simple connexion Internet suffit à créer un risque de collecte de données
      ce genre de situation montre un manque de culture sécurité dans l'armée
  • Le porte-avions Charles de Gaulle navigue à 27 nœuds, ce qui fausse complètement le calcul d'allure des coureurs
    les statistiques Strava peuvent être fortement déformées
    • Des civils courent aussi sur le pont de paquebots de croisière, et les données de vitesse et de distance deviennent parfois absurdes
    • Sur le trajet montré dans l'article, il y a des segments qui vont à l'inverse du sens de déplacement du navire
      le porte-avions naviguait peut-être lentement à ce moment-là
    • Une course de 7,2 km à une allure de 4:38, avec un tracé qui se répète, donne l'impression que le navire suivait une route en boucle
      c'était peut-être une manière de retarder son approche du Liban
    • Le calcul des calories basé sur la fréquence cardiaque produit aussi des erreurs du même genre
      on a déjà vu des cas où certains médicaments font apparaître une dépense calorique quotidienne anormalement élevée
  • Un porte-avions est visible à l'œil nu à environ 28 miles depuis la côte dès qu'on est à 10 m de hauteur
    il aurait donc pu être observé depuis une grande partie du littoral méditerranéen
    • Je me demande s'il existe une politique qui autorise l'usage de Strava près des côtes, mais l'interdit pendant des opérations sensibles
      sinon, ce cas est peut-être simplement un exemple de ce type de comportement à risque
    • La seule forme du parcours de course peut déjà permettre d'estimer la route et la vitesse
  • À part ça, je me demande si ces applis de sport compensent le déplacement du navire
    beaucoup de gens font du jogging sur des paquebots de croisière, donc les données peuvent être faussées par rapport à la réalité