Un logiciel russe EXCLUSIF déguisé en américain trouve son chemin dans l’armée américaine, les applications CDC

LONDRES/WASHINGTON, 14 novembre (Reuters) – Des milliers d’applications pour smartphones dans les boutiques en ligne d’Apple (AAPL.O) et de Google (GOOGL.O) contiennent du code informatique développé par une société technologique, Pushwoosh, qui se présente comme basée aux États-Unis. , mais est en fait russe, a découvert Reuters.

Les Centers for Disease Control and Prevention (CDC), la principale agence américaine de lutte contre les principales menaces pour la santé, ont déclaré avoir été trompés en leur faisant croire que Pushwoosh était basé dans la capitale américaine. Après avoir appris ses racines russes auprès de Reuters, il a supprimé le logiciel Pushwoosh de sept applications destinées au public, invoquant des problèmes de sécurité.

L’armée américaine a déclaré avoir supprimé une application contenant le code Pushwoosh en mars en raison des mêmes préoccupations. Cette application était utilisée par les soldats de l’une des principales bases d’entraînement au combat du pays.

Selon des documents de l’entreprise déposés publiquement en Russie et examinés par Reuters, Pushwoosh a son siège social dans la ville sibérienne de Novossibirsk, où il est enregistré en tant qu’entreprise de logiciels qui effectue également le traitement des données. Elle emploie environ 40 personnes et a réalisé un chiffre d’affaires de 143 270 000 roubles (2,4 millions de dollars) l’année dernière. Pushwoosh est enregistré auprès du gouvernement russe pour payer des impôts en Russie.

Sur les réseaux sociaux et dans les documents réglementaires américains, cependant, elle se présente comme une société américaine, basée à plusieurs reprises en Californie, dans le Maryland et à Washington, DC, a constaté Reuters.

Pushwoosh fournit un support de traitement de code et de données aux développeurs de logiciels, leur permettant de profiler l’activité en ligne des utilisateurs d’applications pour smartphone et d’envoyer des notifications push sur mesure à partir des serveurs Pushwoosh.

Sur son site Web, Pushwoosh dit qu’il ne collecte pas d’informations sensibles, et Reuters n’a trouvé aucune preuve que Pushwoosh a mal géré les données des utilisateurs. Les autorités russes ont toutefois contraint les entreprises locales à remettre les données des utilisateurs aux agences de sécurité nationales.

Le fondateur de Pushwoosh, Max Konev, a déclaré à Reuters dans un e-mail de septembre que la société n’avait pas tenté de masquer ses origines russes. « Je suis fier d’être russe et je ne le cacherais jamais. »

Pushwoosh a publié un article de blog après la publication de l’article de Reuters, qui disait: « Pushwoosh Inc. est une société privée C-Corp constituée en vertu des lois de l’État du Delaware, aux États-Unis. Pushwoosh Inc. n’a jamais appartenu à une société enregistrée en Russie. Fédération. »

La société a également déclaré dans le message : « Pushwoosh Inc. avait l’habitude de sous-traiter des parties de développement du produit à la société russe de Novossibirsk, mentionnée dans l’article. Cependant, en février 2022, Pushwoosh Inc. a résilié le contrat. »

Après que Pushwoosh a publié son article, Reuters a demandé à Pushwoosh de fournir des preuves de ses affirmations, mais les demandes des agences de presse sont restées sans réponse.

Konev a déclaré que la société « n’a aucun lien d’aucune sorte avec le gouvernement russe » et stocke ses données aux États-Unis et en Allemagne.

Les experts en cybersécurité ont déclaré que le stockage des données à l’étranger n’empêcherait cependant pas les agences de renseignement russes d’obliger une entreprise russe à céder l’accès à ces données.

La Russie, dont les liens avec l’Occident se sont détériorés depuis sa prise de contrôle de la péninsule de Crimée en 2014 et son invasion de l’Ukraine cette année, est un leader mondial du piratage et du cyberespionnage, espionnant les gouvernements et les industries étrangers pour rechercher un avantage concurrentiel, selon fonctionnaires occidentaux.

Graphiques Reuters

ÉNORME BASE DE DONNÉES

Le code Pushwoosh a été installé dans les applications d’un large éventail d’entreprises internationales, d’organismes à but non lucratif influents et d’agences gouvernementales, de la société mondiale de biens de consommation Unilever Plc (ULVR.L) et de l’Union des associations européennes de football (UEFA) au puissant pistolet américain. lobby, la National Rifle Association (NRA) et le Parti travailliste britannique.

Les affaires de Pushwoosh avec des agences gouvernementales américaines et des entreprises privées pourraient violer les lois sur les contrats et la Federal Trade Commission (FTC) américaine ou déclencher des sanctions, ont déclaré 10 experts juridiques à Reuters. Le FBI, le Trésor américain et la FTC ont refusé de commenter.

Jessica Rich, ancienne directrice du Bureau de la protection des consommateurs de la FTC, a déclaré que « ce type d’affaire relève directement de l’autorité de la FTC », qui réprime les pratiques déloyales ou trompeuses affectant les consommateurs américains.

Washington pourrait choisir d’imposer des sanctions à Pushwoosh et dispose d’un large pouvoir pour le faire, ont déclaré des experts en sanctions, y compris peut-être par le biais d’un décret exécutif de 2021 qui donne aux États-Unis la possibilité de cibler le secteur technologique russe sur les cyberactivités malveillantes.

Le code Pushwoosh a été intégré dans près de 8 000 applications dans les magasins d’applications Google et Apple, selon Appfigures, un site Web d’intelligence d’applications. Le site Web de Pushwoosh indique qu’il a plus de 2,3 milliards d’appareils répertoriés dans sa base de données.

« Pushwoosh collecte des données utilisateur, y compris une géolocalisation précise, sur des applications sensibles et gouvernementales, ce qui pourrait permettre un suivi invasif à grande échelle », a déclaré Jerome Dangu, co-fondateur de Confiant, une entreprise qui suit l’utilisation abusive des données collectées dans les chaînes d’approvisionnement publicitaires en ligne.

« Nous n’avons trouvé aucun signe clair d’intention trompeuse ou malveillante dans l’activité de Pushwoosh, ce qui ne diminue certainement pas le risque de fuite de données d’application vers la Russie », a-t-il ajouté.

Google a déclaré que la confidentialité était une « préoccupation majeure » pour l’entreprise, mais n’a pas répondu aux demandes de commentaires sur Pushwoosh. Apple a déclaré qu’il prenait au sérieux la confiance et la sécurité des utilisateurs, mais a également refusé de répondre aux questions.

Keir Giles, un expert russe du groupe de réflexion londonien Chatham House, a déclaré qu’en dépit des sanctions internationales contre la Russie, un « nombre substantiel » d’entreprises russes faisaient toujours du commerce à l’étranger et collectaient les données personnelles des personnes.

Compte tenu des lois russes sur la sécurité intérieure, « il ne devrait pas être surprenant qu’avec ou sans liens directs avec les campagnes d’espionnage de l’État russe, les entreprises qui traitent des données voudront minimiser leurs racines russes », a-t-il déclaré.

‘LES PROBLÈMES DE SÉCURITÉ’

Après que Reuters a évoqué les liens russes de Pushwoosh avec le CDC, l’agence de santé a supprimé le code de ses applications car « l’entreprise présente un problème de sécurité potentiel », a déclaré la porte-parole Kristen Nordlund.

« CDC pensait que Pushwoosh était une société basée dans la région de Washington, DC », a déclaré Nordlund dans un communiqué. La croyance était basée sur des « représentations » faites par l’entreprise, a-t-elle dit, sans plus de détails.

Les applications CDC contenant le code Pushwoosh comprenaient l’application principale de l’agence et d’autres configurées pour partager des informations sur un large éventail de problèmes de santé. L’un était destiné aux médecins traitant des maladies sexuellement transmissibles. Alors que le CDC a également utilisé les notifications de l’entreprise pour des questions de santé telles que COVID, l’agence a déclaré qu’elle « ne partageait pas les données des utilisateurs avec Pushwoosh ».

L’armée a déclaré à Reuters qu’elle avait supprimé une application contenant Pushwoosh en mars, invoquant des « problèmes de sécurité ». Il n’a pas précisé dans quelle mesure l’application, qui était un portail d’information à utiliser dans son National Training Center (NTC) en Californie, avait été utilisée par les troupes.

Le NTC est un important centre d’entraînement au combat dans le désert de Mojave pour les soldats avant le déploiement, ce qui signifie qu’une violation de données là-bas pourrait révéler les prochains mouvements de troupes à l’étranger.

Le porte-parole de l’armée américaine, Bryce Dubee, a déclaré que l’armée n’avait subi aucune « perte opérationnelle de données », ajoutant que l’application ne se connectait pas au réseau de l’armée.

Certaines grandes entreprises et organisations, dont l’UEFA et Unilever, ont déclaré que des tiers avaient configuré les applications pour elles, ou pensaient qu’elles embauchaient une entreprise américaine.

« Nous n’avons pas de relation directe avec Pushwoosh », a déclaré Unilever dans un communiqué, ajoutant que Pushwoosh avait été supprimé de l’une de ses applications « il y a quelque temps ».

L’UEFA a déclaré que son contrat avec Pushwoosh était « avec une société américaine ». L’UEFA a refusé de dire si elle était au courant des liens russes de Pushwoosh, mais a déclaré qu’elle réexaminait sa relation avec l’entreprise après avoir été contactée par Reuters.

La NRA a déclaré que son contrat avec la société avait pris fin l’année dernière et qu’elle n’était « au courant d’aucun problème ».

Le Parti travailliste britannique n’a pas répondu aux demandes de commentaires.

« Les données collectées par Pushwoosh sont similaires aux données qui pourraient être collectées par Facebook, Google ou Amazon, mais la différence est que toutes les données Pushwoosh aux États-Unis sont envoyées à des serveurs contrôlés par une société (Pushwoosh) en Russie », a déclaré Zach Edwards. , un chercheur en sécurité, qui a repéré pour la première fois la prévalence du code Pushwoosh alors qu’il travaillait pour Internet Safety Labs, une organisation à but non lucratif.

Roskomnadzor, le régulateur russe des communications, n’a pas répondu à une demande de commentaires de Reuters.

FAUSSE ADRESSE, FAUX PROFILS

Dans les documents réglementaires américains et sur les réseaux sociaux, Pushwoosh ne mentionne jamais ses liens avec la Russie. La société répertorie « Washington, DC » comme emplacement sur Twitter et revendique l’adresse de son bureau comme une maison dans la banlieue de Kensington, Maryland, selon ses derniers documents déposés par une société américaine soumis au secrétaire d’État du Delaware. Il répertorie également l’adresse du Maryland sur ses profils Facebook et LinkedIn.

La maison de Kensington est la maison d’un ami russe de Konev qui a parlé à un journaliste de Reuters sous couvert d’anonymat. Il a dit qu’il n’avait rien à voir avec Pushwoosh et qu’il avait seulement accepté d’autoriser Konev à utiliser son adresse pour recevoir du courrier.

Konev a déclaré que Pushwoosh avait commencé à utiliser l’adresse du Maryland pour « recevoir la correspondance commerciale » pendant la pandémie de coronavirus.

Il a déclaré qu’il exploitait désormais Pushwoosh depuis la Thaïlande, mais n’a fourni aucune preuve qu’il y soit enregistré. Reuters n’a pas pu trouver une entreprise portant ce nom dans le registre des sociétés thaïlandais.

Pushwoosh n’a jamais mentionné qu’il était basé en Russie dans huit dépôts annuels dans l’État américain du Delaware, où il est enregistré, une omission qui pourrait violer la loi de l’État.

Au lieu de cela, Pushwoosh a répertorié une adresse à Union City, en Californie, comme son principal lieu d’affaires de 2014 à 2016. Cette adresse n’existe pas, selon les responsables d’Union City.

Pushwoosh a utilisé des comptes LinkedIn appartenant prétendument à deux cadres basés à Washington, DC nommés Mary Brown et Noah O’Shea pour solliciter des ventes. Mais ni Brown ni O’Shea ne sont de vraies personnes, a constaté Reuters.

Celui appartenant à Brown était en fait celui d’un professeur de danse basé en Autriche, pris par un photographe à Moscou, qui a déclaré à Reuters qu’elle n’avait aucune idée de la façon dont il s’est retrouvé sur le site.

Konev a reconnu que les comptes n’étaient pas authentiques. Il a déclaré que Pushwoosh avait embauché une agence de marketing en 2018 pour les créer dans le but d’utiliser les médias sociaux pour vendre Pushwoosh, et non pour masquer les origines russes de l’entreprise.

LinkedIn a déclaré avoir supprimé les comptes après avoir été alerté par Reuters.

Reportage de James Pearson à Londres et Marisa Taylor à Washington Reportage supplémentaire de Chris Bing à Washington, édité par Chris Sanders et Ross Colvin

Nos normes : Les principes de confiance de Thomson Reuters.

www.actusduweb.com
Suivez Actusduweb sur Google News


Les commentaires sont fermés, mais trackbacks Et les pingbacks sont ouverts.

Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepte Lire la suite