The Bureau of Investigative Journalism, en collaboration avec Bloomberg News, révèle que le cofondateur d'une entreprise suisse à laquelle Google et Twitter ont fait confiance pour envoyer des codes de sécurité par SMS à des millions d'utilisateurs gérait également un service de surveillance utilisé par des gouvernements pour localiser secrètement les téléphones portables.
L'enquête menée par le Bureau et Bloomberg News est basée sur des entretiens avec plus de deux douzaines de personnes, dont d'anciens employés de Mitto, des initiés de l'industrie de la surveillance, des professionnels de la cybersécurité, ainsi que des e-mails et des documents décrivant les prestations de surveillance.
Elle révèle que le cofondateur de l'entreprise, Ilja Gorelik, offrait également un autre service, à l'insu de Mitto : revendre l'accès à ses réseaux pour localiser secrètement des personnes via leur téléphones portables à des sociétés de surveillance qui, à leur tour, ont passé des contrats avec des agences gouvernementales.
Créée en 2013, Mitto AG s'est imposée comme un fournisseur de messages texte automatisés pour des choses telles que les promotions des ventes, les codes de sécurité et les rappels de rendez-vous, établissant des relations avec des opérateurs de télécommunications dans plus de 100 pays.
Ses accords lui ont permis de transmettre des SMS à des milliards de téléphones, y compris dans des pays qui sont autrement difficiles à pénétrer pour les entreprises occidentales, comme l'Iran et l'Afghanistan.
Ses clients comptent de nombreux géants de la technologie, tels que Google, Twitter, WhatsApp, LinkedIn, Telegram, TikTok, Tencent et Alibaba, selon des documents de Mitto et d'anciens employés. L'entreprise, qui se présente comme le fournisseur de services de messagerie texte « le plus fiable » du secteur, affirme qu'elle offre ces services « sans aucune menace ni aucun risque potentiels ».
Mais Gorelik exploitait les faiblesses d'un protocole de télécommunications connu sous le nom de SS7, ou Signaling System 7, qui contient de nombreuses vulnérabilités connues pour avoir été exploitées dans le passé pour localiser des téléphones. L'association de Gorelik avec l'industrie de la surveillance était un secret bien gardé au sein de Mitto, selon d'anciens employés.
Répondant aux questions du Bureau, Mitto a publié une déclaration indiquant que l'entreprise n'était pas impliquée dans une entreprise de surveillance : « Nous sommes choqués par les affirmations contre Ilja Gorelik et notre entreprise ».
Elle a lancé une enquête interne « pour déterminer si notre technologie et nos activités avaient été compromises », et précise qu'elle « prendrait des mesures correctives si nécessaire ».
Commentaires (28)
#1
D’abord Crypto AG, maintenant Mitto…
En fait les entreprises tech suisses c’est des bureaux délocalisés de la CIA
#1.1
Ce n’est pas nouveau ;)
#1.2
Je suis client ProtonMail, je commence à flipper.
#1.3
Moi j’suis client Mail et VPN (quoique j’utilise Mysterium Network maintenant plutôt.
J’vais finir par faire mon propre cloud chez moi à ce rythme
#2
Je plains Richard Virenque ! Il aurait dû déposer la marque comme Nabilla…
#2.1
Il faudrait aussi déposer blaireaux.
#2.2
Tu confonds le guignol et son original
#2.3
Je retrouve pas les images, mais il avait accouché d’un énorme néologisme qui a inspiré les Guignols.
#2.4
À l’insu de mon plein gré.
#2.7
Ah voilà, merci!
#2.5
Richard Virenque.
Edit : grilled
#2.6
Tu fais peut-être référence à ça :
https://www.lopinion.fr/international/richard-virenque-une-popularite-a-linsu-des-guignols
#3
Que vient faire Bernard Hinault dans cette histoire ?
#3.1
Car il rime avec le o de Amstrong. D’après l’article le dopage est manifeste.
Non, à l’issue ils déduiront la pleine force.
C’est magique…
#4
Et ils vont faire quoi à l’issue de cette enquête interne ?
Virer leur PDG co-fondateur ?
#5
“A l’insu de leur plein gré” ? Avec un nom pareil ?
Mitto, mais qui va les croire …
#6
Le pdg est Mitto, normal qu’il croit aux mensonges qu’il raconte
#7
Mais du coup, techniquement, comment ça fonctionne grossièrement ? Comment un service spécialisé dans l’envoi de SMS peut-il récupérer des infos sur la localisation des personnes ?
#7.1
Ok, une première réponse pas bien loin : https://www.nextinpact.com/article/26416/104214-ss7-apres-interceptions-sms-securite-reseaux-mobiles-en-question
#8
Oui enfin Protonmail E2E (j’ai activé le mode deux mot de passe + 2FA) et vu que j’utilise Simple login je leur ai collé ma clef PGP donc 0 email arrive en clair chez proton.
#9
Ça m’étonnerait que tu reçoives 100% de mail chiffré (voire que t’en reçoives tout court en fait :) )
#10
Deux possibilité 1 t’a pas lu, 2 t’es un troll dans les deux cas ton commentaire vaut rien.
#10.1
J’ai compris seulement maintenant ton commentaire en regardant ce qu’était Simple login.
Tu utilises ce service pour (entre autre) t’envoyer tes messages de façon chiffrée vers Protonmail.
Alors, oui, ça sécurise le stockage et c’est une bonne idée, mais ils peuvent être interceptés et lus avant, jusqu’aux (et y compris) serveurs mails de Simple login.
#11
Ca peut mais l’avantage complet qu’apport niveau sécurité / privacy le un email pour un service, couplé par la détection et suppression simple des services qui vendent les mail (réduction du spam) c’est vite vu.
Puis s’il connais pas le services, sont commentaire passif agressif, est inutiles, rien ne lui empêchait de simplement dire qu’il connaissait pas simple login au lieu de répondre … ce qu’il a répondu.
#12
Je suis dsl mais proton mail ne peut pas chiffrer par magie les mails qui arrivent en clair. Donc Si j’ai bien compris tu crées des alias externes avec Simple login qui doit chiffrer les mails entrants avant de les envoyer sur Proton, donc proton n’est qu’un simple hébergeur.
Le risque de sécurité est simplement décalé de proton vers simple mail, mais il est toujours là >99.99% des mails entrants arrivent (et transitent sur le réseau) en clair. C’est je pense encore pire niveau sécurité car le jour ou simple login est vendu ou disparait tu ne perds pas 1 mais tous tes alias et le temps que tu t’en rendes comptes tous tes mails passeront je ne sais où avant d’arriver dans ta mailbox de tous les jours.
D’ailleurs le site simple mail à l’air bien louche : aucun statut, aucune référence à l’hébergement des serveurs (en europe ? chez les gafams, en Corée du Nord ?), aucune référence au RGPD.
societe.com me dit que c’est un SAS avec 2000€ de capital, et le CEO annonce sur linkedin être CEO d’un nouveau truc tous les ans.
Tu fais ce que tu veux mais moi je ne m’aventurerais jamais sur ce “service” qui ressemble plus à un site de dropshipping qu’autre chose…
#13
les message arrive pas en clair monsieur je sais tous comme je disait mais pour ca faut avoi lu j’ai mis la clef PGP dans simple login service de redirection d’email donc SIMPLELOGIN chiffre tous les mails vers PROTON il y a donc 0 mail en clair, la prochaine fois avant de dire n’importe quoi renseigne toi comme d’autre l’on fait …
#13.1
Si, ils arrivent en clair sur simple login, c’est ce qu’il dit. Il a juste écrit simple mail au lieu de simple login. Et il a raison aussi sur la fiabilité de Simple mail tant au niveau de la confiance que l’on peut lui apporter que de sa pérennité. Le seul moyen de t’en affranchir, c’est de gérer toi-même une instance de Simple mail ce qui est possible puisque c’est Open source, mais je ne pense pas que ce soir ce que tu fais.
#14
étant donné qu’il est opensource et l’avantage niveau privacy que donne leur domaine je reste chez eux, (mais mon propos de base répondais a quelqu’un qui parlais de la suisse et qu’il flippais pour proton) d’ou j’ai répondu qui a des moyen (meme si proton est on ne peut plus safe, de l’en empêcher), sinon pour en revenir a simplelogin j’ai une instance hébergée que je n’utilise pas (je l’utiliserais s’il viennent a fermé) (car sur du self host tu perd le coté vie privée vu que tous tes compte peuvent être lié ensemble a cause du nom de domaine identique.)