Polar suspend temporairement la fonction Explore pour des raisons de sécurité

Polar a temporairement suspendu son service Explore qui permettait de consulter les itinéraires des utilisateurs de l’app Polar Flow. Ces cartes sont générées en fonction des données fournies par les clients du constructeur. Et certains d’entre eux peuvent travailler pour de discrètes officines gouvernementales, ou tout simplement être des militaires. Deux études parues chez Bellingcat et De Correspondent montrent qu’un malandrin est en mesure d’exploiter les données de Polar pour localiser des sites militaires ou sensibles, en repérant les tracés des parcours. Pire, il peut aussi obtenir des informations précises sur ces mêmes personnels.

Cette histoire n’est pas sans rappeler les déboires de Strava, dont la carte des parcours affichait les petites habitudes de jogging des militaires. Depuis, l’éditeur permet de masquer les données de ses utilisateurs. Dans le cas de Polar, l’affaire va plus loin encore, car en croisant des informations, les chercheurs et journalistes ont pu récupérer la localisation, le nom et l’adresse d’utilisateurs, notamment de soldats et d’employés d’agences de renseignements.

ZDNet, qui relaie la découverte, a par exemple pu obtenir des informations personnelles sur un gradé travaillant à la NSA. L’API Explore présenterait une faille permettant à un brigand d’obtenir des données personnelles, y compris lorsque l’utilisateur a déclaré son profil privé. Il est même possible de récupérer autant de données que souhaité (Polar conserve un historique depuis 2014) car l’API n’oppose aucune limite dans les requêtes.

Le constructeur a publié un communiqué dans lequel il explique n’avoir jamais « fuité » des données ; il réfute aussi la possibilité d’une faille. La majeure partie des utilisateurs laissent leur profil privé, tout comme les données de leurs efforts (même s’il y a visiblement un souci à ce niveau). Polar a tout de même décidé de suspendre son API, le temps d’analyser les options disponibles. La fonction Explore pourrait revenir, mais le constructeur y ajoutera des garde-fous et des avertissements.