L'affaire de surveillance de Mitto AG - ou pourquoi nous ne devons jamais utiliser le cryptage par porte dérobée.
Un seul employé a divulgué des données sensibles aux services secrets, potentiellement aussi à la Russie.
Surveillance de Mitto AG
Ilja Gorelik, cofondateur et directeur d’exploitation de Mitto AG, aurait aidé des sociétés de surveillance privées et des agences gouvernementales à suivre des personnes via leurs téléphones portables.
La fuite publiée par le Bureau of Investigative Journalism et Bloomberg News accuse la société suisse Mitto AG d’avoir aidé à localiser des téléphones portables et à obtenir des informations dans le cadre d’opérations de surveillance à l’échelle mondiale.
La technologie au service de la sécurité
Le paradoxe dans l’affaire de surveillance de Mitto AG est qu’en réalité la technologie fournie est censée aider à protéger les données secrètes - et non permettre la surveillance.
Mitto AG offre des services de messagerie textuelle dans le monde entier, de sorte que les services en ligne ont pu proposer des vérifications par SMS lors des connexions. Pour se connecter à un compte en ligne, par exemple, il faut non seulement utiliser un mot de passe, mais aussi un code qui est envoyé par SMS.
Mitto AG a des contrats avec des fournisseurs du monde entier pour envoyer des SMS en grande quantité. De grandes entreprises technologiques telles que Google, WhatsApp, Microsoft et Twitter étaient clientes de Mitto AG. Ce dernier a cessé de coopérer avec Mitto AG récemment en raison de l’enquête en cours sur la surveillance présumée de Mitto AG.
En raison de son activité, Mitto AG travaille avec des entreprises de télécommunications dans plus de cent pays et a accès à l’infrastructure de communication mobile dans de nombreux pays du monde, également dans des pays comme l’Afghanistan et l’Iran.
Technologie utilisée pour la surveillance
Mais depuis la fin de l’année dernière, Mitto AG fait l’objet de sérieux soupçons : au lieu de renforcer la sécurité des utilisateurs, le cofondateur Gorelik aurait utilisé l’accès à l’infrastructure de téléphonie mobile pour permettre à des tiers de surveiller les utilisateurs de téléphones mobiles.
À partir de 2017, il a vendu l’accès au réseau de l’entreprise à des sociétés de surveillance privées, qui l’auraient utilisé pour des opérations d’espionnage pour le compte d’agences étatiques, selon Bloomberg.
Les partenariats de Mitto avec les fournisseurs de télécommunications lui ont permis d’utiliser certaines vulnérabilités établies de longue date dans le protocole (Signaling System 7, ou SS7) qui sous-tend une grande partie des communications internationales. Grâce au SS7, il est possible de localiser des personnes et de lire des informations comme l’historique des appels à partir de leur téléphone.
En 2017, un rapport du ministère américain de la sécurité intérieure a souligné la gravité des failles de sécurité du SS7 : Des tiers peuvent déterminer l’emplacement physique des appareils mobiles ou intercepter ou rediriger des messages texte et des conversations en raison des vulnérabilités de SS7.
Ces problèmes sont connus depuis longtemps, mais en raison de l’âge de SS7 - il a été créé dans les années 1970 - il est compliqué, voire impossible, de les résoudre.
C’est également l’une des raisons pour lesquelles Tutanota ne prend pas en charge les messages texte pour l’authentification à deux facteurs. Au lieu de cela, nous recommandons vivement d’utiliser U2F (jeton matériel) comme meilleure pratique pour augmenter la sécurité de la connexion.
Espionnage pour de nombreux pays
Dans un cas spécifique en 2019, les systèmes de Mitto auraient été utilisés pour localiser le téléphone d’un haut fonctionnaire du département d’État américain, selon Bloomberg. Il n’est pas clair qui était derrière cette opération. En outre, le rapport mentionne le cas d’une personne en Asie du Sud-Est dont la surveillance aurait consisté à envoyer des commandes système pour lire des messages texte.
L’ensemble des sociétés de surveillance et des services secrets avec lesquels Mitto AG a coopéré n’est pas encore connu. Cependant, un lien explosif avec la Russie a également été mis en lumière.
Le journal suisse Tages-Anzeiger avait publié des liens commerciaux avec la Russie. Selon le rapport, Mitto est la société mère à 100 % d’une société écran présumée à Moscou, qui a été fondée l’année même où les activités de surveillance ont commencé : 2017.
Selon le Tages-Anzeiger, Mitto AG est l’entière propriétaire de la société moscovite appelée Tigokom. L’objet de la société est inscrit au registre du commerce russe pour les “activités dans le domaine des communications sans fil”. Le siège de Tigokom est une simple pièce dans un petit immeuble de bureaux situé au centre de Moscou.
Pour l’expert en renseignement Erich Schmidt-Eenboom, cette révélation a éveillé les soupçons : “Cela fait naître le soupçon que les services russes ont pu recevoir des informations de Mitto”, déclare Schmidt-Eenboom au Tages-Anzeiger. “Maintenant, les autorités suisses doivent prendre des mesures pour clarifier ce soupçon.”
Mitto AG nie l’espionnage
Mitto AG nie être engagée dans des activités d’espionnage et de surveillance. Mitto n’a pas exploité un service permettant aux sociétés de surveillance d’accéder à l’infrastructure de télécommunication pour surveiller les gens, et ne le fera pas, affirme-t-elle. Une enquête interne a été lancée pour clarifier ces allégations.
Selon Bloomberg, Mitto AG a déclaré dans un communiqué :
“Nous sommes choqués par les affirmations contre Ilja Gorelik et notre société. Pour être clair, Mitto n’organise pas, n’a pas organisé et n’exploitera pas une entreprise, une division ou une entité distincte qui fournit aux sociétés de surveillance un accès aux infrastructures de télécommunication pour localiser secrètement des personnes via leurs téléphones portables, ou d’autres actes illégaux. Mitto ne tolère pas non plus, ne soutient pas et ne permet pas l’exploitation des réseaux de télécommunication avec lesquels la société s’associe pour fournir des services à ses clients mondiaux.”
Leçon apprise
En l’état, l’affaire de surveillance de Mitto AG montre à quel point il est dangereux que des entreprises aient accès à des données sensibles.
Il a suffi d’un seul homme - certes, cet homme était le cofondateur de l’entreprise, mais il s’agit tout de même d’un seul homme - pour faire fuir des données de localisation de citoyens à des sociétés d’investigation privées. Cette forme de surveillance pourrait être tirée d’un roman d’espionnage à succès, et pourtant elle se serait produite dans la réalité.
Si cette fuite de données sensibles a été possible, c’est en raison de faiblesses - ou de vulnérabilités - dans le protocole SS7.
Cela montre clairement que nous devons protéger les données chaque fois que cela est possible, y compris et surtout de la part des entreprises qui les traitent.
Tout crypter
L’affaire Mitto AG est un autre exemple de la raison pour laquelle nous ne devons jamais utiliser le cryptage comme porte dérobée.
Le cryptage de bout en bout est le meilleur outil dont nous disposons pour protéger les données sensibles. Non seulement contre les autorités, mais aussi contre les acteurs malveillants qui pourraient tenter d’accéder à nos données personnelles.
Une fois de plus, Mitto AG est la preuve qu’une “porte dérobée réservée aux bons” - comme le demandent régulièrement les autorités - est tout simplement impossible. Dès qu’il y a une porte dérobée, un acteur malveillant vient et en abuse.
Le cryptage de bout en bout ne doit jamais être brisé.