7 kilomètres en 35 minutes, un matin de mars, quelque part en Méditerranée orientale. Un officier de la Marine nationale court sur le pont d’envol du Charles de Gaulle, montre connectée au poignet. Quelques secondes après la fin de sa séance, son parcours GPS apparaît en ligne, visible par n’importe qui. Et avec lui, la position exacte du seul porte-avions nucléaire français, en route vers une zone de guerre.
Le Monde a révélé ce 20 mars que ses journalistes avaient localisé le navire amiral en temps réel grâce à Strava, l’application de sport préférée des coureurs du dimanche. Le profil du marin, configuré en mode public, a suffi à placer le bâtiment au nord-ouest de Chypre, à une centaine de kilomètres des côtes turques. En pleine escalade militaire au Moyen-Orient, alors que Macron venait d’ordonner le redéploiement du groupe aéronaval depuis la Baltique.
Huit ans de fuites, zéro correctif structurel
Ce n’est pas un bug isolé. C’est un schéma qui se répète depuis 2018, toujours avec la même application, toujours pour la même raison : les profils Strava sont publics par défaut.
En janvier 2018, un étudiant australien de 20 ans, Nathan Ruser, remarque que la carte thermique mondiale publiée par Strava, compilant 3 000 milliards de points GPS, dessine avec une précision chirurgicale les contours de bases militaires secrètes en Syrie, en Afghanistan et à Djibouti. Les itinéraires de jogging des soldats américains révèlent jusqu’au plan intérieur d’installations qui n’apparaissent sur aucune carte satellite commerciale. Le Guardian et le New York Times publient l’affaire. Jeffrey Lewis, analyste au Middlebury Institute of International Studies, résume : « Strava est assise sur une montagne de données que la plupart des services de renseignement tueraient pour obtenir. »
Six ans plus tard, en octobre 2024, les journalistes du Monde identifient les gardes du corps d’Emmanuel Macron grâce à leurs profils Strava. Les membres du Groupe de sécurité de la présidence de la République (GSPR) enregistrent leurs courses à pied et les publient avec géolocalisation. Résultat : les hôtels du président, ses lieux de réunion et ses déplacements secrets deviennent traçables par quiconque sait chercher.
Et en mars 2026, rebelote. Même application, même faille, même type de victime. L’officier qui a couru sur le pont du Charles de Gaulle n’a fait que ce que font 120 millions d’utilisateurs de Strava chaque mois : enregistrer une sortie et la partager.
Le « public par défaut », un choix de design qui coûte cher
Le problème est structurel. Quand un utilisateur crée un compte Strava, son profil est automatiquement configuré en mode public. Chaque course, chaque sortie vélo, chaque randonnée apparaît sur la carte mondiale, géolocalisée au mètre près. Pour rendre ses activités privées, il faut aller fouiller dans les paramètres, une démarche que la majorité des utilisateurs ne fait jamais.
Ce choix n’est pas anodin. Pour une plateforme sociale valorisée à plus de 1,5 milliard de dollars, le contenu public est le carburant de la croissance. Plus il y a de parcours visibles, plus le réseau attire de nouveaux sportifs. Strava revendique 3 millions de nouveaux inscrits chaque mois, selon Business of Apps. La mécanique repose sur la visibilité : voir et être vu, comparer ses performances, se mesurer aux autres sur les mêmes segments. Rendre tout privé par défaut casserait ce moteur.
Après le scandale de 2018, Strava a bien ajouté des « zones de confidentialité » permettant de masquer les départs et arrivées d’activité autour d’une adresse. La plateforme a aussi renforcé ses options de contrôle de visibilité. Mais le réglage par défaut n’a pas changé : public. Et les zones de confidentialité ne servent à rien quand on court sur le pont d’un navire de guerre en pleine mer.
L’armée savait, le marin aussi (probablement)
Contactées par Le Monde, les armées françaises ont reconnu que le comportement de l’officier « ne respecte pas les consignes en vigueur », dont « les marins sont régulièrement informés ». La formulation polie dit beaucoup : les directives existent, les rappels aussi, mais les militaires continuent d’utiliser Strava en mission.
Le phénomène dépasse la France. Après la révélation de 2018, le Pentagone avait interdit l’usage d’applications de géolocalisation sur les théâtres d’opération. L’armée britannique a publié des guidelines similaires. Pourtant, les chercheurs en sécurité retrouvent régulièrement des traces d’activité militaire sur Strava, y compris dans des zones sensibles. En 2018, l’application avait même permis d’identifier un cycliste solitaire roulant le long de la zone 51 au Nevada, selon le Guardian.
Le décalage entre les consignes et la réalité tient à un phénomène classique en cybersécurité : l’habitude l’emporte sur la prudence. Un marin qui court tous les jours avec sa montre connectée ne pense pas « renseignement militaire » quand il appuie sur « partager ». Il pense kilomètres, dénivelé, temps au tour.
120 millions d’utilisateurs, autant de cibles potentielles
Si le cas militaire est le plus spectaculaire, le risque concerne tout le monde. Journalistes couvrant des zones sensibles, victimes de harcèlement dont le domicile est identifiable via les points de départ récurrents, diplomates en déplacement confidentiel : les données Strava sont une mine d’or pour quiconque veut suivre les déplacements d’une personne.
TechCrunch rappelle que Strava n’a pas répondu à ses demandes de commentaire sur l’incident du Charles de Gaulle. Le silence de l’entreprise tranche avec l’ampleur du problème. Depuis 2018, chaque nouvelle révélation suit le même cycle : scandale, indignation, promesses d’amélioration, puis retour au calme jusqu’à la fuite suivante.
La question centrale n’est plus technique. Strava sait que ses données géolocalisées posent un risque de sécurité. Ses ingénieurs ont développé des outils de protection. Mais la plateforme refuse de franchir le pas le plus simple : passer les comptes en privé par défaut et demander aux utilisateurs d’opter pour la visibilité, plutôt que l’inverse. Un choix de design qui, huit ans et trois scandales majeurs plus tard, continue de mettre en danger des gens qui ne savent même pas qu’ils sont exposés.
Le RGPD a-t-il quelque chose à dire ?
En Europe, le Règlement général sur la protection des données impose le principe de « protection des données par défaut » (article 25). Les plateformes sont censées appliquer le niveau de confidentialité le plus élevé en standard, sauf choix contraire explicite de l’utilisateur. Strava, basée à San Francisco, opère pourtant en sens inverse pour ses utilisateurs européens.
Aucune autorité de protection des données n’a, à ce jour, sanctionné Strava sur ce point. Mais l’accumulation des incidents, combinée à la localisation en temps réel d’un actif militaire stratégique, pourrait relancer le débat. La CNIL française dispose de la compétence pour enquêter sur le traitement des données des utilisateurs français, y compris quand le responsable de traitement est américain.
Le Charles de Gaulle poursuit sa route vers le Moyen-Orient avec son escorte de frégates. Le profil Strava du marin a depuis été supprimé ou rendu privé. Mais les 120 millions d’autres comptes restent configurés exactement de la même manière qu’avant. La prochaine fuite n’est pas une question de « si », mais de « quand ».
