Les autorités russes ont piraté le téléphone d'un opposant politique de premier plan alors qu'il était en détention, en utilisant la technologie développée par la société médico-légale Cellebrite – même après que la société ait déclaré avoir rompu ses liens avec les agences gouvernementales de Poutine, selon un nouveau rapport cela soulève de nouvelles questions quant à savoir si les entreprises technologiques occidentales peuvent réellement contrôler la manière dont leurs outils sont utilisés une fois qu'ils sont dans la nature.
Cette affaire constitue un avertissement pour toute entreprise technologique qui vend des produits aux gouvernements. Cellebrite, une entreprise israélienne avec un deuxième siège social en Virginie qui vend aux gouvernements du monde entier — y compris aux États-Unis — avait annoncé qu'il cesserait de fournir du matériel et des logiciels à la Russie. Apparemment, cela n’a pas abouti ou n’a pas pu donner suite.
Des chercheurs du Citizen Lab, un groupe de défense des droits numériques basé à l'Université de Toronto, ont déclaré avoir trouvé des preuves selon lesquelles une unité d'enquête du gouvernement russe a utilisé un outil de piratage téléphonique fabriqué par Cellebrite pour pirater l'iPhone du dissident local des droits de l'homme et homme politique d'opposition Andrey Pivovarov en juin 2021.
Trois mois avant ce piratage, Cellebrite avait annoncé qu’elle cesserait « immédiatement » de vendre sa technologie à ses clients du gouvernement russe. Sur son site officiel, Cellebrite réclamations qu'à partir de mars 2021, lorsqu'elle a rompu ses liens avec le gouvernement de Poutine, l'entreprise « peut empêcher l'appareil de fonctionner ou de recevoir des mises à jour logicielles ».
On ne sait pas pourquoi cela ne s'est pas produit dans ce cas, et l'épisode expose une vérité inconfortable sur la technologie de surveillance, à savoir qu'une fois que de puissantes technologies de piratage et de surveillance atteignent le mauvais client, il n'est pas si facile de le récupérer. Les outils prolifèrent, font l’objet d’abus et peuvent continuer à l’être, souvent longtemps après que l’entreprise qui les a fabriqués s’est lavé les mains du client.
« Ce n'est pas surprenant, et [it] est le résultat de la politique de Cellebrite », a déclaré Eitay Mack, un avocat israélien spécialisé dans les droits de l’homme qui mène depuis longtemps une campagne contre les fabricants de technologies de surveillance comme Cellebrite et le fabricant de logiciels espions NSO Group.
Contactez-nous
Avez-vous plus d’informations sur Cellebrite ? Ou sur la façon dont les clients de Cellebrite abusent de sa technologie ? Nous aimerions avoir de vos nouvelles. Depuis un appareil et un réseau non professionnels, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Telegram et Keybase @lorenzofb, ou e-mail.
Mack a fait valoir que l'arrêt des ventes, voire la révocation d'une licence logicielle, n'empêche pas un ancien client de Cellebrite d'abuser de la technologie de l'entreprise, comme le démontre cette affaire. Mack a également souligné que Cellebrite refuse de dire si elle demande à ses clients de démonter les outils de piratage qu'elle leur a vendus, une lacune critique que ses propres annonces de coupures ne comblent pas.
Cette affaire, a ajouté Mack, suggère que d'anciens clients peuvent toujours abuser de l'outil de déverrouillage de téléphone de Cellebrite, baptisé UFED, même après que l'entreprise a cessé de prendre en charge le client et a vraisemblablement révoqué sa licence logicielle. En théorie, cela devrait rendre les appareils de l'entreprise moins utiles.
John Scott-Railton, chercheur principal au Citizen Lab, a déclaré à TechCrunch que Cellebrite « devrait également désactiver les déploiements à distance suite à des rapports crédibles d'abus et mettre fin à l'ère du déni plausible en mettant en œuvre des filigranes signés cryptographiquement sur tous les appareils imagés ». En termes simples, Cellebrite devrait être capable de bloquer à distance ses propres outils lorsqu'ils sont utilisés à mauvais escient, et elle devrait intégrer une sorte d'empreinte numérique afin que toutes les données extraites avec sa technologie puissent être retracées jusqu'à l'appareil spécifique utilisé.
Cellebrite vend des périphériques conçus pour déverrouiller et pirater les téléphones portables qui y sont connectés. Au fil des années, les chercheurs ont documenté des cas où des clients d’entreprises ont utilisé sa technologie contre des dissidents, des militants des droits humains et des journalistes à Hong Kong, au Kenya et en Jordanie. En réponse à certaines de ces découvertes, Cellebrite a rompu ses liens avec Bangladesh, La Chine et Hong Kong, Birmanieet Serbie.
Dans un e-mail adressé au Citizen Lab, qu'il a partagé avec TechCrunch, le directeur marketing de Cellebrite, David Gee, a déclaré que la société « a arrêté toutes les ventes et tous les services à la Fédération de Russie en mars 2021, mettant fin aux licences existantes, et a immédiatement commencé à résilier tous les contrats légaux. Toute utilisation du matériel Cellebrite hérité en Russie après mars 2021 est totalement non autorisée ».
Gee, ainsi que le porte-parole de Cellebrite, Victor Cooper, n'ont pas répondu à une série de questions spécifiques envoyées par TechCrunch.
Dans le cas de Pivovarov, les chercheurs du Citizen Lab ont déclaré avoir pu trouver sur son téléphone des preuves médico-légales indiquant qu'il avait été piraté avec Cellebrite UFED, après que les autorités russes l'ont arrêté et confisqué son iPhone 12 et son MacBook en mai 2021.
Pivovarov a également partagé avec les chercheurs un document judiciaire qu'il a reçu dans le cadre de ses poursuites. Dans ce document, le Centre d'experts criminels du gouvernement russe détaille son utilisation de Cellebrite UFED pour pirater son téléphone, déclarant que les autorités ont utilisé UFED pour extraire des données, notamment des messages WhatsApp et Telegram. Ils ont également recherché dans le téléphone des termes politiques, ainsi que les noms de personnalités de l'opposition, qui comprenaient des cibles de ce que les chercheurs ont décrit comme de prétendues campagnes de piratage du gouvernement russe.
Pivovarov était le directeur du groupe d’opposition Open Russia, aujourd’hui disparu. Il a ensuite été condamné à quatre ans de prison, avant d'être libéré en août 2024 dans le cadre de un échange de prisonniers entre la Russie et les pays occidentaux qui a également libéré le journaliste du Wall Street Journal Evan Gershkovich.
L'ambassade de Russie à Washington DC n'a pas répondu à une demande de commentaires.
Lorsque vous achetez via des liens dans nos articles, nous pouvons gagner une petite commission. Cela n'affecte pas notre indépendance éditoriale.