Une application de sport, une photo de vacances, une position en direct dans WhatsApp : les données de localisation semblent anodines parce qu'elles sont devenues banales. C'est précisément là que réside le risque. Quelques petits indices peuvent rapidement former un profil de déplacement, et ce profil peut révéler des habitudes privées, des rendez-vous professionnels ou des informations confidentielles de l'entreprise.
Cela ne veut pas dire qu'il faut jeter son smartphone ou supprimer toutes les applications. Mais lorsqu'on comprend ce que les données de localisation peuvent révéler, on prend de meilleures décisions : en partageant un parcours de course, en publiant depuis un hôtel, en utilisant une application de rencontre ou en partageant rapidement sa position en direct dans un groupe.
Le Cyber Snack de mai rend précisément cela concret : il montre comment des données d'application apparemment banales peuvent devenir un problème de sécurité, dans la vie privée, au travail et parfois même à l'échelle géopolitique.
Pourquoi les données de localisation sont si révélatrices
Les données de localisation deviennent vraiment révélatrices lorsqu'elles sont partagées régulièrement.
Un seul point de localisation dit souvent peu de choses. Un schéma en dit presque tout. Une personne qui part régulièrement de la même adresse le matin, déjeune toujours au même endroit et partage le soir le même parcours de course ne révèle pas seulement des lieux. Elle révèle des routines.
Ces routines sont précieuses : pour des harceleurs, des cambrioleurs, des escrocs et, dans le contexte professionnel, pour des social engineers, des concurrents ou des services de renseignement. Les données de localisation répondent à des questions que personne n'a posées directement : où vit cette personne ? Quand n'est-elle pas chez elle ? Qui rencontre une dirigeante ? Quelle entreprise est visitée ?
Le cas Strava : une sortie running, un porte-avions
Un profil sportif public peut révéler bien plus que de l'ambition sportive.
En mars 2026, Le Monde a montré à quel point une activité sportive privée peut rapidement devenir une faille de sécurité. Le 13 mars à 10 h 35, un officier de la marine française a enregistré une sortie d'un peu plus de sept kilomètres. Son profil Strava était public. Le parcours ne se trouvait pas dans un parc, mais sur un navire en Méditerranée orientale.
Grâce aux données visibles publiquement et à des images satellites, Le Monde a pu déterminer la position du Charles de Gaulle et de son groupe d'escorte. Le déploiement du porte-avions n'était pas secret. Rendre sa position précise visible presque en temps réel restait pourtant très problématique. Les forces armées françaises ont ensuite indiqué que cette utilisation ne respectait pas les règles en vigueur.
La question décisive n'est pas : « Ai-je publié quelque chose de secret ? » Mais : « Que peut-on déduire de mes signaux publics ? »
Les applications de sport ne sont pas les seules à révéler des lieux
Strava n'est que l'exemple le plus visible. Les données de localisation apparaissent à de nombreux endroits : applications de sport, applications de cartographie, positions en direct dans des groupes de messagerie, Snapchat, applications de rencontre, et parfois indirectement via des images sur Instagram, LinkedIn ou Facebook.
Fin 2024, Follow the Money a montré à quel point ces signaux peuvent devenir sensibles. L'équipe d'enquête a créé trois profils Tinder fictifs, déplacé numériquement leur position près de bases militaires et identifié au moins 400 soldats en peu de temps. À partir des distances affichées, des photos de profil et d'autres sources publiques, il a été possible de reconstituer des déplacements, des fonctions et parfois même des adresses privées, sans même obtenir de match.
Pourquoi cela peut devenir dangereux dans la vie privée
Dans la vie privée, le risque vient rarement d'une seule publication. Il vient de la combinaison des informations. Un profil de course public montre d'où une personne part régulièrement. Des photos de vacances montrent que l'appartement est vide. Une position en direct dans un grand groupe montre à des inconnus où se trouve quelqu'un à cet instant.
Les escroqueries deviennent elles aussi plus crédibles. Un message comme « Salut papa, comment ça se passe à Lyon au bord du Rhône ? Mon téléphone est cassé et j'ai besoin d'argent pour la réparation » n'a pas le même effet lorsque le lieu correspond réellement à une publication récente. Les données de localisation rendent le social engineering plus personnel.
Pourquoi les données de localisation sont aussi sensibles au travail
Les publications, avis et signaux de localisation peuvent souvent être recomposés.
Au travail, il ne s'agit pas seulement de la sécurité de certaines personnes. Les données de localisation peuvent révéler où une entreprise est active, quels clients sont visités, quand des dirigeants voyagent ou quels partenaires se trouvent dans la même ville.
Cela peut sembler abstrait, mais c'est le quotidien de l'OSINT. Une publication LinkedIn sur des « changements stratégiques passionnants », une photo Instagram prise dans un restaurant, un avis d'hôtel et une position visible sur une carte peuvent raconter une histoire qui ne devait pas encore être publique : par exemple une acquisition, une restructuration ou un rendez-vous client confidentiel.
Un schéma OSINT typique
Un CEO publie quelque chose sur un changement stratégique à venir. Le même jour, une photo de restaurant et un avis d'hôtel apparaissent. Chaque signal dit peu de choses isolément. Ensemble, ils peuvent indiquer une négociation confidentielle.
Cinq règles qui aident vraiment
Les principales mesures de protection sont simples, mais elles doivent être appliquées consciemment.
1. Régler consciemment les accès à la localisation
Autorisez l'accès à la position uniquement lorsqu'une application en a vraiment besoin pour une fonction précise. Si possible, seulement pendant l'utilisation, pas en permanence en arrière-plan.
2. Mettre les profils en privé
Les profils de sport et de réseaux sociaux ne devraient pas être publics par défaut. Vérifiez les abonnés, la visibilité des anciennes activités et les partages automatiques.
3. Limiter les positions en direct
Partagez votre position en direct uniquement avec des personnes de confiance, et seulement pendant la durée réellement nécessaire.
4. Publier en différé
Les photos de vacances, parcours de course et voyages professionnels sont plus sûrs lorsqu'ils sont publiés après votre départ. Le temps réel est rarement nécessaire.
5. Vérifier les photos avant publication
Un nom de restaurant, une chaîne d'hôtel, un badge de conférence, une enseigne de bureau ou une carte en arrière-plan peuvent révéler plus que la publication elle-même.
Et qu'en est-il de Localiser et Find My Device ?
La localisation d'appareils n'est pas automatiquement problématique. Si vous utilisez Localiser ou Find My Device pour retrouver vos propres appareils, c'est généralement utile. Cela devient sensible lorsque vous partagez durablement votre position avec d'autres personnes. La même règle de base s'applique : uniquement avec des personnes en qui vous avez vraiment confiance.
Ce que les équipes awareness devraient en retenir
Pour les CISOs et responsables awareness, la leçon principale est la suivante : les données de localisation ne sont pas seulement un sujet de protection des données. C'est un sujet du quotidien. Les collaborateurs ne partagent généralement pas leur position par négligence, mais parce qu'une application est utile, qu'une publication semble anodine ou qu'une fonction est pratique.
C'est pourquoi les interdictions ne suffisent pas. Les scénarios concrets fonctionnent mieux : que révèle un parcours de course ? Que voit-on en arrière-plan d'une photo ? Qui est réellement présent dans un groupe WhatsApp ? Quelle application a vraiment besoin de la position exacte, et laquelle n'en a pas besoin ? Ce sont ces questions qui développent le jugement.
Cela rejoint aussi d'autres risques mobiles, comme les règles de notre Impuls En sécurité en déplacement, et la question centrale de Services en ligne et outils d'IA : quelles données est-ce que je transmets à des services externes, et pourquoi ?
Conclusion
Les données de localisation semblent peu spectaculaires. Mais les données peu spectaculaires sont justement risquées, parce qu'elles éveillent rarement la méfiance. Un lieu, une heure, une photo, une distance : séparément anodins, ensemble révélateurs.
Tout le monde n'a pas besoin de savoir où vous êtes. Et toutes les applications n'ont pas besoin de le savoir non plus.
Sources
Le Monde, 20 mars 2026 : « StravaLeaks: France's aircraft carrier located in real time by Le Monde through fitness app » ; Associated Press, 20 mars 2026.
Follow the Money, 14 décembre 2024 : « Looking for love and sex on Tinder, soldiers endanger national security ».
