Des applications de l’armée américaine infiltrées par un logiciel russe

Tags : Etats-Unis, Russie, logiciels, Pushwoosh, Apple, Google, code informatique,

Un logiciel russe déguisé en américain se retrouve dans des applications de l’armée américaine et du CDC.

Des milliers d’applications pour smartphones présentes dans les boutiques en ligne d’Apple et de Google contiennent du code informatique développé par une société technologique, Pushwoosh, qui se présente comme étant basée aux Etats-Unis, mais qui est en réalité russe.

Les Centers for Disease Control and Prevention (CDC), principale agence américaine de lutte contre les grandes menaces sanitaires, ont déclaré avoir été trompés en croyant que Pushwoosh était basée dans la capitale américaine. Après avoir appris par Reuters l’existence de ses racines russes, il a supprimé le logiciel Pushwoosh de sept applications accessibles au public, invoquant des problèmes de sécurité.

L’armée américaine a déclaré avoir supprimé une application contenant le code de Pushwoosh en mars pour les mêmes raisons. Cette application était utilisée par les soldats de l’une des principales bases d’entraînement au combat du pays.

Selon les documents de l’entreprise déposés publiquement en Russie et examinés par Reuters, Pushwoosh a son siège dans la ville sibérienne de Novossibirsk, où elle est enregistrée comme une société de logiciels qui effectue également du traitement de données. Elle emploie environ 40 personnes et a déclaré des revenus de 143 270 000 roubles (2,4 millions de dollars) l’année dernière. Pushwoosh est enregistrée auprès du gouvernement russe pour payer des impôts en Russie.

Cependant, sur les médias sociaux et dans les documents réglementaires américains, elle se présente comme une société américaine, basée à différents moments en Californie, dans le Maryland et à Washington, D.C.

Pushwoosh fournit un code et un support de traitement des données aux développeurs de logiciels, leur permettant de profiler l’activité en ligne des utilisateurs d’applications pour smartphones et d’envoyer des notifications push sur mesure depuis les serveurs de Pushwoosh.

Sur son site web, Pushwoosh affirme ne pas collecter d’informations sensibles, et Reuters n’a trouvé aucune preuve que Pushwoosh ait mal géré les données des utilisateurs. Les autorités russes ont toutefois contraint les entreprises locales à transmettre les données des utilisateurs aux agences de sécurité nationales.

Le fondateur de Pushwoosh, Max Konev, a déclaré à Reuters dans un courriel de septembre que la société n’avait pas essayé de masquer ses origines russes. « Je suis fier d’être russe et je ne le cacherai jamais ».

Il a ajouté que l’entreprise « n’a aucun lien avec le gouvernement russe, quel qu’il soit » et stocke ses données aux États-Unis et en Allemagne.

Selon les experts en cybersécurité, le stockage des données à l’étranger n’empêcherait pas les services de renseignement russes de contraindre une entreprise russe à céder l’accès à ces données, cependant.

La Russie, dont les liens avec l’Occident se sont détériorés depuis sa prise de contrôle de la péninsule de Crimée en 2014 et son invasion de l’Ukraine cette année, est un leader mondial du piratage et du cyber-espionnage, espionnant les gouvernements et les industries étrangers pour rechercher un avantage concurrentiel, selon les responsables occidentaux.

ÉNORME BASE DE DONNÉES
Le code de Pushwoosh a été installé dans les applications d’un large éventail d’entreprises internationales, d’organisations à but non lucratif influentes et d’agences gouvernementales, de l’entreprise mondiale de biens de consommation Unilever Plc (ULVR.L) et de l’Union des associations européennes de football (UEFA) au puissant lobby américain des armes à feu, la National Rifle Association (NRA), et au parti travailliste britannique.

Les activités de Pushwoosh avec des agences gouvernementales américaines et des entreprises privées pourraient violer les lois sur les contrats et la Commission fédérale du commerce (FTC) ou déclencher des sanctions, ont déclaré à Reuters dix experts juridiques. Le FBI, le Trésor américain et la FTC ont refusé de commenter.

Jessica Rich, ancienne directrice du bureau de la protection des consommateurs de la FTC, a déclaré que « ce type d’affaire relève directement de l’autorité de la FTC », qui s’attaque aux pratiques déloyales ou trompeuses affectant les consommateurs américains.

Washington pourrait choisir d’imposer des sanctions à Pushwoosh et dispose d’une large autorité pour le faire, ont déclaré les experts en sanctions, y compris peut-être par le biais d’un décret de 2021 qui donne aux États-Unis la capacité de cibler le secteur technologique de la Russie pour des cyberactivités malveillantes.

Le code de Pushwoosh a été intégré dans près de 8 000 applications dans les magasins d’applications de Google et d’Apple, selon Appfigures, un site Web de renseignements sur les applications. Le site Web de Pushwoosh indique que sa base de données contient plus de 2,3 milliards d’appareils.

« Pushwoosh collecte les données des utilisateurs, y compris leur géolocalisation précise, sur des applications sensibles et gouvernementales, ce qui pourrait permettre un suivi invasif à grande échelle », a déclaré Jérôme Dangu, cofondateur de Confiant, une société qui suit l’utilisation abusive des données collectées dans les chaînes d’approvisionnement de la publicité en ligne.

« Nous n’avons trouvé aucun signe clair d’intention trompeuse ou malveillante dans l’activité de Pushwoosh, ce qui ne diminue certainement pas le risque de fuite de données d’applications vers la Russie », a-t-il ajouté.

Google a déclaré que la protection de la vie privée était une « priorité absolue » pour l’entreprise, mais n’a pas répondu aux demandes de commentaires sur Pushwoosh. Apple a déclaré qu’elle prenait au sérieux la confiance et la sécurité des utilisateurs, mais a également refusé de répondre aux questions.

Keir Giles, expert de la Russie au sein du groupe de réflexion londonien Chatham House, a déclaré qu’en dépit des sanctions internationales imposées à la Russie, un « nombre substantiel » d’entreprises russes continuaient à faire du commerce à l’étranger et à collecter les données personnelles des gens.

Compte tenu des lois russes sur la sécurité intérieure, « il ne faut pas s’étonner qu’avec ou sans liens directs avec les campagnes d’espionnage de l’État russe, les entreprises qui traitent des données soient désireuses de minimiser leurs racines russes », a-t-il déclaré.

PROBLÈMES DE SÉCURITÉ
Après que Reuters a évoqué les liens russes de Pushwoosh avec le CDC, l’agence sanitaire a retiré le code de ses applications car « l’entreprise présente un problème potentiel de sécurité », a déclaré la porte-parole Kristen Nordlund.

« Le CDC pensait que Pushwoosh était une société basée dans la région de Washington, D.C. », a déclaré Mme Nordlund dans un communiqué. Cette conviction était fondée sur des « représentations » faites par la société, a-t-elle ajouté, sans donner plus de détails.

Les applications du CDC qui contenaient du code Pushwoosh comprenaient l’application principale de l’agence et d’autres destinées à partager des informations sur un large éventail de problèmes de santé. L’une d’elles était destinée aux médecins traitant les maladies sexuellement transmissibles. Bien que le CDC ait également utilisé les notifications de la société pour des questions de santé telles que COVID, l’agence a déclaré qu’elle « ne partageait pas les données des utilisateurs avec Pushwoosh. »

L’armée a déclaré à Reuters qu’elle avait retiré une application contenant Pushwoosh en mars, invoquant des « problèmes de sécurité ». Elle n’a pas précisé l’ampleur de l’utilisation de l’application, qui était un portail d’information destiné à son National Training Center (NTC) en Californie, par les troupes.

Le NTC est un important centre d’entraînement au combat situé dans le désert de Mojave pour les soldats en phase de pré-déploiement, ce qui signifie qu’une violation des données pourrait révéler les mouvements de troupes à l’étranger.

Le porte-parole de l’armée américaine, Bryce Dubee, a déclaré que l’armée n’avait subi aucune « perte opérationnelle de données », ajoutant que l’application ne s’était pas connectée au réseau de l’armée.

Certaines grandes entreprises et organisations, dont l’UEFA et Unilever, ont déclaré que des tiers avaient mis en place les apps pour elles, ou qu’elles pensaient engager une entreprise américaine.

« Nous n’avons pas de relation directe avec Pushwoosh », a déclaré Unilever dans un communiqué, ajoutant que Pushwoosh a été supprimée d’une de ses applications « il y a quelque temps ».

L’UEFA a déclaré que son contrat avec Pushwoosh était « avec une société américaine ». L’UEFA a refusé de dire si elle était au courant des liens de Pushwoosh avec la Russie, mais a déclaré qu’elle réexaminait sa relation avec la société après avoir été contactée par Reuters.

La NRA a déclaré que son contrat avec la société avait pris fin l’année dernière et qu’elle n’était « pas au courant de problèmes ».

Le parti travailliste britannique n’a pas répondu aux demandes de commentaires.

« Les données collectées par Pushwoosh sont similaires à celles qui pourraient être collectées par Facebook, Google ou Amazon, mais la différence est que toutes les données de Pushwoosh aux États-Unis sont envoyées à des serveurs contrôlés par une société (Pushwoosh) en Russie », a déclaré Zach Edwards, un chercheur en sécurité, qui a d’abord repéré la prévalence du code Pushwoosh alors qu’il travaillait pour Internet Safety Labs, une organisation à but non lucratif.

Roskomnadzor, le régulateur des communications de l’État russe, n’a pas répondu à une demande de commentaire de Reuters.

FAUSSE ADRESSE, FAUX PROFILS
Dans les documents réglementaires américains et sur les médias sociaux, Pushwoosh ne mentionne jamais ses liens avec la Russie. La société indique « Washington, D.C. » comme emplacement sur Twitter et déclare que l’adresse de son bureau est une maison dans la banlieue de Kensington, dans le Maryland, selon les derniers documents déposés par la société américaine auprès du secrétaire d’État du Delaware. Elle indique également l’adresse du Maryland sur ses profils Facebook et LinkedIn.

La maison de Kensington est le domicile d’un ami russe de Konev qui a parlé à un journaliste de Reuters sous couvert d’anonymat. Il a déclaré n’avoir rien à voir avec Pushwoosh et avoir seulement accepté que Konev utilise son adresse pour recevoir du courrier.

Konev a déclaré que Pushwoosh avait commencé à utiliser l’adresse du Maryland pour « recevoir de la correspondance professionnelle » pendant la pandémie de coronavirus.

Il a déclaré qu’il gérait désormais Pushwoosh depuis la Thaïlande, mais n’a fourni aucune preuve que la société y était enregistrée. Reuters n’a pas pu trouver de société portant ce nom dans le registre des sociétés thaïlandais.

Pushwoosh n’a jamais mentionné qu’elle était basée en Russie dans huit documents annuels déposés dans l’État américain du Delaware, où elle est enregistrée, une omission qui pourrait enfreindre la législation de cet État.

Au lieu de cela, Pushwoosh a indiqué une adresse à Union City, en Californie, comme son principal lieu d’activité de 2014 à 2016. Cette adresse n’existe pas, selon les responsables d’Union City.

Pushwoosh a utilisé des comptes LinkedIn appartenant prétendument à deux cadres basés à Washington, D.C., nommés Mary Brown et Noah O’Shea, pour solliciter des ventes. Mais ni Brown ni O’Shea ne sont des personnes réelles, a constaté Reuters.

La photo appartenant à Brown était en fait celle d’un professeur de danse basé en Autriche, prise par un photographe de Moscou, qui a déclaré à Reuters qu’elle n’avait aucune idée de la façon dont elle s’était retrouvée sur le site.

Konev a reconnu que les comptes n’étaient pas authentiques. Il a déclaré que Pushwoosh avait engagé une agence de marketing en 2018 pour les créer dans le but d’utiliser les médias sociaux pour vendre Pushwoosh, et non pour masquer les origines russes de l’entreprise.

LinkedIn a déclaré avoir supprimé les comptes après avoir été alerté par Reuters.

Reuters, 14 nov 2022

#Etats_Unis #Russie #Logiciels #CDC