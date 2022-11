Les Centers for Disease Control and Prevention (CDC), principale agence américaine de lutte contre les grandes menaces sanitaires, ont déclaré avoir été trompés en croyant que Pushwoosh était basée dans la capitale américaine. Après avoir appris par Reuters l'existence de ses racines russes, il a retiré le logiciel Pushwoosh de sept applications destinées au public, invoquant des problèmes de sécurité.

L'armée américaine a déclaré qu'elle avait supprimé une application contenant le code de Pushwoosh en mars en raison des mêmes préoccupations. Cette application était utilisée par des soldats dans l'une des principales bases d'entraînement au combat du pays.

Selon les documents de l'entreprise déposés publiquement en Russie et examinés par Reuters, Pushwoosh a son siège dans la ville sibérienne de Novosibirsk, où elle est enregistrée comme une société de logiciels qui effectue également le traitement des données. Elle emploie environ 40 personnes et a déclaré des revenus de 143 270 000 roubles (2,4 millions de dollars) l'année dernière. Pushwoosh est enregistrée auprès du gouvernement russe pour payer des impôts en Russie.

Cependant, sur les médias sociaux et dans les documents réglementaires américains, elle se présente comme une société américaine, basée à différents moments en Californie, dans le Maryland et à Washington, D.C., a constaté Reuters.

Pushwoosh fournit un code et un support de traitement des données aux développeurs de logiciels, leur permettant de profiler l'activité en ligne des utilisateurs d'applications pour smartphones et d'envoyer des notifications push sur mesure depuis les serveurs de Pushwoosh.

Sur son site Web, Pushwoosh affirme qu'il ne collecte pas d'informations sensibles, et Reuters n'a trouvé aucune preuve que Pushwoosh ait mal géré les données des utilisateurs. Les autorités russes ont toutefois contraint les entreprises locales à remettre les données des utilisateurs aux agences de sécurité nationales.

Le fondateur de Pushwoosh, Max Konev, a déclaré à Reuters dans un courriel de septembre que la société n'avait pas essayé de masquer ses origines russes. "Je suis fier d'être russe et je ne le cacherai jamais".

Il a ajouté que l'entreprise "n'a aucun lien avec le gouvernement russe, quel qu'il soit" et stocke ses données aux États-Unis et en Allemagne.

Les experts en cybersécurité ont déclaré que le stockage des données à l'étranger n'empêcherait pas les agences de renseignement russes de contraindre une entreprise russe à céder l'accès à ces données, cependant.

La Russie, dont les liens avec l'Occident se sont détériorés depuis sa prise de contrôle de la péninsule de Crimée en 2014 et son invasion de l'Ukraine cette année, est un leader mondial du piratage et du cyber-espionnage, espionnant les gouvernements et les industries étrangers pour rechercher un avantage concurrentiel, selon les responsables occidentaux.

ÉNORME BASE DE DONNÉES

Le code Pushwoosh a été installé dans les applications d'un large éventail d'entreprises internationales, d'organisations à but non lucratif influentes et d'agences gouvernementales, de l'entreprise mondiale de biens de consommation Unilever Plc et de l'Union des associations européennes de football (UEFA) au puissant lobby américain des armes à feu, la National Rifle Association (NRA), et au parti travailliste britannique.

Les affaires de Pushwoosh avec des agences gouvernementales américaines et des entreprises privées pourraient violer les lois sur les contrats et la Commission fédérale du commerce (FTC) ou déclencher des sanctions, ont déclaré à Reuters 10 experts juridiques. Le FBI, le Trésor américain et la FTC ont refusé de commenter.

Jessica Rich, ancienne directrice du Bureau de la protection des consommateurs de la FTC, a déclaré que "ce type d'affaire relève directement de l'autorité de la FTC", qui s'attaque aux pratiques déloyales ou trompeuses affectant les consommateurs américains.

Washington pourrait choisir d'imposer des sanctions à Pushwoosh et dispose d'une large autorité pour le faire, selon les experts en sanctions, y compris peut-être par le biais d'un décret de 2021 qui donne aux États-Unis la capacité de cibler le secteur technologique de la Russie pour des cyberactivités malveillantes.

Le code de Pushwoosh a été intégré dans près de 8 000 applications dans les magasins d'applications de Google et d'Apple, selon Appfigures, un site Web de renseignements sur les applications. Le site Web de Pushwoosh affirme avoir plus de 2,3 milliards d'appareils répertoriés dans sa base de données.

"Pushwoosh collecte des données d'utilisateur, y compris une géolocalisation précise, sur des apps sensibles et gouvernementales, ce qui pourrait permettre un suivi invasif à l'échelle", a déclaré Jerome Dangu, cofondateur de Confiant, une entreprise qui suit l'utilisation abusive des données collectées dans les chaînes d'approvisionnement de la publicité en ligne.

"Nous n'avons trouvé aucun signe clair d'intention trompeuse ou malveillante dans l'activité de Pushwoosh, ce qui ne diminue certainement pas le risque de fuite de données d'applications vers la Russie", a-t-il ajouté.

Google a déclaré que la protection de la vie privée était une "grande priorité" pour l'entreprise, mais n'a pas répondu aux demandes de commentaires sur Pushwoosh. Apple a déclaré qu'elle prenait au sérieux la confiance et la sécurité des utilisateurs mais a également refusé de répondre aux questions.

Keir Giles, expert de la Russie au groupe de réflexion londonien Chatham House, a déclaré qu'en dépit des sanctions internationales imposées à la Russie, un "nombre substantiel" d'entreprises russes continuaient à faire du commerce à l'étranger et à collecter les données personnelles des gens.

Compte tenu des lois russes sur la sécurité intérieure, "il ne faut pas s'étonner qu'avec ou sans liens directs avec les campagnes d'espionnage de l'État russe, les entreprises qui traitent des données soient désireuses de minimiser leurs racines russes", a-t-il déclaré.

DES "PROBLÈMES DE SÉCURITÉ".

Après que Reuters a évoqué les liens russes de Pushwoosh avec le CDC, l'agence de santé a retiré le code de ses applications car "l'entreprise présente un problème potentiel de sécurité", a déclaré la porte-parole Kristen Nordlund.

"Le CDC croyait que Pushwoosh était une entreprise basée dans la région de Washington, D.C.", a déclaré Mme Nordlund dans un communiqué. Cette croyance était basée sur des "représentations" faites par la société, a-t-elle ajouté, sans donner plus de détails.

Les applications du CDC qui contenaient le code Pushwoosh comprenaient l'application principale de l'agence et d'autres mises en place pour partager des informations sur un large éventail de problèmes de santé. L'une d'elles était destinée aux médecins traitant les maladies sexuellement transmissibles. Bien que le CDC ait également utilisé les notifications de la société pour des questions de santé telles que le COVID, l'agence a déclaré qu'elle "ne partageait pas les données des utilisateurs avec Pushwoosh."

L'armée a déclaré à Reuters qu'elle avait retiré une application contenant Pushwoosh en mars, invoquant des "problèmes de sécurité". Elle n'a pas précisé dans quelle mesure l'application, qui était un portail d'information destiné à son National Training Center (NTC) en Californie, avait été utilisée par les troupes.

Le NTC est un important centre d'entraînement au combat dans le désert de Mojave pour les soldats en phase de pré-déploiement, ce qui signifie qu'une violation des données pourrait révéler les mouvements de troupes à l'étranger.

Le porte-parole de l'armée américaine, Bryce Dubee, a déclaré que l'armée n'avait subi aucune "perte opérationnelle de données", ajoutant que l'application ne s'était pas connectée au réseau de l'armée.

Certaines grandes entreprises et organisations, dont l'UEFA et Unilever, ont déclaré que des tiers avaient mis en place les apps pour elles, ou qu'elles pensaient engager une entreprise américaine.

"Nous n'avons pas de relation directe avec Pushwoosh", a déclaré Unilever dans un communiqué, ajoutant que Pushwoosh a été supprimé de l'une de ses apps "il y a quelque temps".

L'UEFA a déclaré que son contrat avec Pushwoosh était "avec une société américaine". L'UEFA a refusé de dire si elle était au courant des liens de Pushwoosh avec la Russie, mais a déclaré qu'elle réexaminait sa relation avec la société après avoir été contactée par Reuters.

L'ANR a déclaré que son contrat avec la société a pris fin l'année dernière et qu'elle n'était "pas au courant de problèmes".

Le parti travailliste britannique n'a pas répondu aux demandes de commentaires.

"Les données recueillies par Pushwoosh sont similaires à celles qui pourraient être collectées par Facebook, Google ou Amazon, mais la différence est que toutes les données de Pushwoosh aux États-Unis sont envoyées à des serveurs contrôlés par une société (Pushwoosh) en Russie", a déclaré Zach Edwards, un chercheur en sécurité, qui a d'abord repéré la prévalence du code Pushwoosh alors qu'il travaillait pour Internet Safety Labs, une organisation à but non lucratif.

Roskomnadzor, l'organisme public de réglementation des communications en Russie, n'a pas répondu à une demande de commentaire de Reuters.

FAUSSE ADRESSE, FAUX PROFILS

Dans les documents réglementaires américains et sur les médias sociaux, Pushwoosh ne mentionne jamais ses liens avec la Russie. La société indique "Washington, D.C." comme emplacement sur Twitter et déclare que l'adresse de son bureau est une maison dans la banlieue de Kensington, dans le Maryland, selon ses derniers dépôts de société américaine soumis au secrétaire d'État du Delaware. Elle indique également l'adresse du Maryland sur ses profils Facebook et LinkedIn.

La maison de Kensington est le domicile d'un ami russe de Konev qui a parlé à un journaliste de Reuters sous couvert d'anonymat. Il a déclaré qu'il n'avait rien à voir avec Pushwoosh et qu'il avait seulement accepté de permettre à Konev d'utiliser son adresse pour recevoir du courrier.

Konev a déclaré que Pushwoosh avait commencé à utiliser l'adresse du Maryland pour "recevoir de la correspondance professionnelle" pendant la pandémie de coronavirus.

Il a déclaré qu'il gère désormais Pushwoosh depuis la Thaïlande, mais n'a fourni aucune preuve que la société y est enregistrée. Reuters n'a pas pu trouver de société de ce nom dans le registre des sociétés thaïlandais.

Pushwoosh n'a jamais mentionné qu'elle était basée en Russie dans huit dépôts annuels dans l'État américain du Delaware, où elle est enregistrée, une omission qui pourrait violer la loi de l'État.

Au lieu de cela, Pushwoosh a indiqué une adresse à Union City, en Californie, comme son principal lieu d'activité de 2014 à 2016. Cette adresse n'existe pas, selon les responsables de Union City.

Pushwoosh a utilisé des comptes LinkedIn appartenant prétendument à deux cadres basés à Washington, D.C., nommés Mary Brown et Noah O'Shea, pour solliciter des ventes. Mais ni Brown ni O'Shea ne sont des personnes réelles, a constaté Reuters.

Celle appartenant à Brown était en fait celle d'un professeur de danse basé en Autriche, prise par un photographe à Moscou, qui a déclaré à Reuters qu'elle n'avait aucune idée de la façon dont elle s'était retrouvée sur le site.

Konev a reconnu que les comptes n'étaient pas authentiques. Il a déclaré que Pushwoosh avait engagé une agence de marketing en 2018 pour les créer dans le but d'utiliser les médias sociaux pour vendre Pushwoosh, et non pour masquer les origines russes de l'entreprise.

LinkedIn a déclaré avoir supprimé les comptes après avoir été alerté par Reuters.