Une sortie de 8 kilomètres un mardi matin à 6h45. Puis la même, le jeudi suivant. Et encore le samedi. Pendant des années, des millions de coureurs ont publié leurs parcours sur Strava sans vraiment réfléchir à ce que cette accumulation de données dessine, semaine après semaine, sur une carte publique. Jusqu’au jour où quelqu’un les interpelle sur leurs horaires.
Ce scénario n’a rien d’anecdotique. La publication de contenus même anodins peut révéler des détails, qui mis bout à bout, dessinent un profil extrêmement précis. Votre domicile, vos habitudes de sommeil, vos jours de repos, la fréquence à laquelle vous rentrez tard le soir. Tout ça, lisible par n’importe qui, gratuitement, sans même avoir besoin de vous suivre.
À retenir
- Votre point de départ et d’arrivée révèle votre adresse avec une précision inquiétante
- Des chercheurs ont localisé 37,5% des utilisateurs sans leur consentement réel
- Les gardes du corps des chefs d’État ont été géolocalisés via leurs données Strava publiques
Ce que votre carte révèle vraiment
Strava n’est pas malveillante. Son modèle repose sur la collecte et le partage de données de localisation, permettant aux utilisateurs de suivre leurs parcours et d’interagir avec d’autres. Le problème, c’est que dans le cas où ces données sont identifiables, elles divulguent quasiment en temps réel des déplacements, des routines, des stratégies.
La mécanique est simple. Lorsque vous téléchargez une activité sur Strava qui contient des données GPS, une carte est automatiquement générée et apparaît par défaut dans votre activité. Le point de départ de votre run ? Votre domicile, dans 90 % des cas. Le point d’arrivée ? Souvent le même. Et en comparant les points d’extrémité de la heatmap et les données personnelles d’un utilisateur issues de la fonction de recherche, des chercheurs ont pu établir une corrélation entre les points d’activité élevée et les adresses des utilisateurs.
Des chercheurs de l’Université d’État de Caroline du Nord ont poussé l’exercice plus loin. Les profils de carte thermique Strava contiennent des données d’activité et des distances horodatées, ce qui a permis aux chercheurs de déterminer les itinéraires potentiels des utilisateurs. Ils ont ensuite comparé ces résultats avec des données d’inscription d’électeurs. Les adresses révélées étaient précises à environ 37,5 %. Sur une base de données de 125 millions d’utilisateurs, ce pourcentage représente des dizaines de millions de personnes localisables sans leur consentement réel.
La plupart des paramètres restent publics par défaut. C’est là l’essentiel du problème. Vous pensez partager vos exploits sportifs avec votre communauté de coureurs. Vous pensez motiver vos amis ou suivre vos progrès. Vous exposez en réalité un journal de bord géolocalisé de votre vie quotidienne.
Des gardes du corps présidentiels aux coureuses du dimanche
L’affaire a pris une dimension nationale fin 2024. Via des données accessibles publiquement sur l’application Strava, qui permettent de tracer les joggings des gardes du corps des chefs d’État, des journalistes ont pu localiser les lieux de résidence normalement confidentiels des présidents français, américains et russes. Le journal Le Monde a démontré que des gardes du corps d’Emmanuel Macron, Joe Biden et Vladimir Poutine ont vu leur localisation identifiée, à de multiples reprises, via leurs activités enregistrées lors de voyages officiels.
Plus récemment, en mars 2026, des journalistes français ont réussi à localiser le porte-avions Charles de Gaulle après qu’un marin a enregistré sur Strava sa séance de course à pied sur le pont du navire, son profil étant réglé en mode public. N’importe qui pouvait alors connaître, presque en temps réel, la position exacte du porte-avions. Un cas extrême, certes. Mais le mécanisme est strictement identique à celui du coureur du dimanche dont le voisin a remarqué les horaires.
Pour les particuliers, le risque le plus concret n’est pas l’espionnage géopolitique. C’est le harcèlement. Gwenaëlle Berger s’est fait harceler à plusieurs reprises par un admirateur inconnu qui avait repéré son profil grâce à l’application Strava. Quelques mois plus tard, son admirateur est revenu avec des informations précises sur ses sorties de course. “J’ai commencé à être inquiète. Il était de plus en plus insistant. Il parlait de mes parcours, de ma vitesse.” Ce cas, documenté au Québec en 2024, illustre ce que des harceleurs peuvent faire avec ces données : connaître votre route, savoir où vous allez dans des endroits sombres ou isolés, et à quelle heure, sachant que c’est probablement une routine régulière.
Reprendre le contrôle, concrètement
Strava a réagi, progressivement. La fonction Flyby, qui permettait à n’importe quel utilisateur de voir en détail les parcours des personnes croisées pendant une sortie, est passée en opt-in après un tollé. Après avoir travaillé avec les autorités, l’application propose désormais une option dans la partie confidentialité des paramètres pour ne pas apparaître sur la carte Global Heatmap. Par défaut, le partage de données anonymisées reste cependant toujours actif.
Les outils existent donc. Vous pouvez utiliser les paramètres de visibilité de la carte pour masquer tout ou partie de votre trace GPS, cacher une adresse, masquer le début et la fin de vos activités. Strava propose même une zone tampon autour de votre domicile, qui efface automatiquement le début et la fin de chaque sortie dans un rayon configurable. Ce réglage permet de conserver secrets les lieux d’habitation et de travail, mais il faut passer par l’interface web, ces réglages n’étant pas accessibles depuis l’application.
Attention au piège de la migration de données. Votre paramètre de confidentialité par défaut s’applique uniquement aux futures activités. Ce réglage ne modifie pas rétroactivement les paramètres de confidentialité des activités passées. Des années d’historique restent donc potentiellement exposées si vous ne les traitez pas explicitement, une par une ou en lot via l’interface web. Sécuriser votre profil Strava ne sert à rien si vous n’avez pas déjà sécurisé l’application de votre montre GPS, que ce soit Garmin Connect, Polar Flow, COROS ou Suunto. Autant de portes d’entrée supplémentaires vers les mêmes données.
Le plus troublant dans tout ça : malgré les efforts de sensibilisation et de formation, la prise de conscience des risques liés aux usages mobiles reste insuffisante, et ce même dans les milieux les plus exposés. Si des agents de protection rapprochée de chefs d’État continuent à publier leurs sorties en mode public deux ans après le premier scandale Stravaleaks, il est raisonnable de supposer que la grande majorité des 125 millions d’utilisateurs de la plateforme n’ont jamais ouvert la page de paramètres de confidentialité. Ce n’est pas une question de mauvaise volonté. C’est une question de conception : quand le partage public est l’option par défaut, la plupart des gens ne la changent pas.
Sources : globalsecuritymag.fr | tiktok.com