Un récent scoop de Reuters a révélé que les applications mobiles de l’armée américaine et des Centers for Disease Control and Prevention (CDC) intégraient un logiciel qui envoie les données des visiteurs à une société russe appelée Pushwoosh, qui prétend être basée aux États-Unis. Mais cette histoire omettait un détail historique important concernant Pushwoosh : en 2013, l’un de ses développeurs a admis être l’auteur du cheval de Troie Pincer, un logiciel malveillant conçu pour intercepter et transférer en toute discrétion les messages texte des appareils mobiles Android.
Pushwoosh affirme être une société américaine qui fournit du code aux développeurs de logiciels pour profiler les utilisateurs d’applications pour smartphones en fonction de leur activité en ligne, ce qui leur permet d’envoyer des notifications sur mesure. Mais une enquête récente de Reuters a soulevé des questions sur l’emplacement réel de l’entreprise et sa véracité.
L’armée a déclaré à Reuters qu’elle avait retiré une application contenant Pushwoosh en mars, invoquant des « problèmes de sécurité ». L’application de l’armée était utilisée par les soldats de l’une des principales bases d’entraînement au combat du pays.
Selon Reuters, le CDC a également retiré récemment le code de Pushwoosh de son application pour des raisons de sécurité, après que des journalistes aient informé l’agence que Pushwoosh n’était pas basée dans la région de Washington D.C. – comme l’entreprise l’avait déclaré – mais qu’elle était plutôt gérée depuis Novosibirsk, en Russie.
Le logiciel de Pushwoosh a également été trouvé dans des applications destinées à « un large éventail d’entreprises internationales, d’organisations à but non lucratif influentes et d’agences gouvernementales, allant de la société mondiale de biens de consommation Unilever et de l’Union des associations européennes de football (UEFA) au puissant lobby américain des armes à feu, la National Rifle Association (NRA), et au parti travailliste britannique ».
Le fondateur de la société, Max Konev, a déclaré à Reuters que Pushwoosh « n’a aucun lien avec le gouvernement russe, quel qu’il soit » et qu’elle stocke ses données aux États-Unis et en Allemagne.
Mais Reuters a constaté que si les médias sociaux et les documents réglementaires américains de Pushwoosh la présentent comme une société américaine basée à divers endroits en Californie, dans le Maryland et à Washington, D.C., les employés de la société se trouvent à Novossibirsk, en Russie.
Reuters a également appris que l’adresse de la société en Californie n’existe pas, et que deux comptes LinkedIn d’employés de Pushwoosh à Washington, D.C. étaient faux.
« Pushwoosh n’a jamais mentionné qu’elle était basée en Russie dans huit dépôts annuels dans l’État américain du Delaware, où elle est enregistrée, une omission qui pourrait violer la loi de l’État », a rapporté Reuters.
Pushwoosh a admis que les profils LinkedIn étaient faux, mais a déclaré qu’ils avaient été créés par une société de marketing pour stimuler l’activité de l’entreprise, et non pour déformer son emplacement.
Pushwoosh a déclaré à Reuters qu’elle avait utilisé des adresses dans la région de Washington, D.C. pour « recevoir de la correspondance commerciale » pendant la pandémie de coronavirus. Un examen de la présence en ligne du fondateur de Pushwoosh via Constella Intelligence montre que son adresse électronique Pushwoosh était liée à un numéro de téléphone à Washington, D.C. qui était également connecté à des adresses électroniques et des profils de compte pour plus d’une douzaine d’autres employés de Pushwoosh.
LA CONNEXION DU TROJAN PINCER
L’agitation autour de Pushwoosh provient en partie des données recueillies par Zach Edwards, un chercheur en sécurité qui travaillait jusqu’à récemment pour l’Internet Safety Labs, une organisation à but non lucratif qui finance des recherches sur les menaces en ligne.
Selon Edwards, Pushwoosh a débuté sous le nom d’Arello-Mobile et, pendant plusieurs années, les deux sociétés ont fait co-marque, apparaissant côte à côte dans divers salons technologiques. Vers 2016, dit-il, les deux entreprises ont commencé à utiliser le nom de Pushwoosh.
Une recherche sur la base de code de Pushwoosh montre que l’un des développeurs de longue date de la société est un homme de 41 ans de Novossibirsk nommé Yuri Shmakov. En 2013, KrebsOnSecurity a interviewé Shmakov pour l’article « Who Wrote the Pincer Android Trojan ? », dans lequel Shmakov a reconnu avoir écrit le malware en tant que projet indépendant.
Shmakov m’a dit que, compte tenu des spécifications du client, il se doutait que l’application pourrait finalement être utilisée à des fins malveillantes. Malgré tout, il a terminé le travail et a signé son œuvre en incluant son surnom dans le code de l’application.
« Je travaillais sur cette application depuis plusieurs mois et j’espérais qu’elle serait vraiment utile », écrit Shmakov. « L’idée de cette application est que vous pouvez la configurer comme un filtre anti-spam… bloquer certains appels et SMS à distance, à partir d’un service Web. J’espérais qu’il s’agirait d’une [sorte de] liste noire, avec enregistrement des [messages/appels] bloqués. Mais bien sûr, j’ai compris que le client n’en voulait pas vraiment. »
Shmakov n’a pas répondu aux demandes de commentaires. Son profil LinkedIn indique qu’il a cessé de travailler pour Arello Mobile en 2016, et qu’il est actuellement employé à temps plein en tant que chef d’équipe Android dans une société de paris en ligne.
Dans un billet de blog répondant à l’article de Reuters, Pushwoosh a déclaré qu’il s’agit d’une société privée constituée en vertu des lois de l’État du Delaware, aux États-Unis, et que Pushwoosh Inc n’a jamais été détenue par une société enregistrée dans la Fédération de Russie.
« Pushwoosh Inc. avait l’habitude de sous-traiter les parties de développement du produit à la société russe de Novosibirsk, mentionnée dans l’article », a déclaré la société. « Cependant, en février 2022, Pushwoosh Inc. a mis fin au contrat. »
Cependant, Edwards a noté que des dizaines de sous-domaines de développeurs sur le domaine principal de Pushwoosh pointent toujours vers JSC Avantel, un fournisseur d’accès Internet basé à Novossibirsk, en Russie.
jeu de guerre
Selon M. Edwards, l’application de l’armée américaine présentait une configuration Pushwoosh personnalisée qui n’apparaissait sur aucune autre implémentation client.
« Il s’agissait d’une configuration extrêmement personnalisée qui n’existait nulle part ailleurs », a déclaré Edwards. « À l’origine, il s’agissait d’un navigateur Web in-app, où il intégrait un javascript Pushwoosh de sorte que chaque fois qu’un utilisateur cliquait sur des liens, les données étaient envoyées à Pushwoosh et ils pouvaient repousser ce qu’ils voulaient via le navigateur in-app. »
Un article du Army Times publié le lendemain de la parution de l’article de Reuters indique qu’au moins 1 000 personnes ont téléchargé l’application, qui « fournissait des mises à jour pour les troupes du centre national d’entraînement de Fort Irwin, en Californie, un point de passage essentiel pour les unités en déploiement afin de tester leurs prouesses sur le champ de bataille avant de partir à l’étranger ».
En avril 2022, environ 4 500 membres de l’armée ont convergé vers le centre national d’entraînement pour un exercice de jeux de guerre sur la façon d’utiliser les leçons tirées de la guerre de la Russie contre l’Ukraine pour se préparer à de futurs combats contre un adversaire majeur comme la Russie ou la Chine.
M. Edwards a déclaré que, malgré les nombreuses tergiversations de Pushwoosh, le logiciel de la société ne semble pas avoir fait quoi que ce soit de fâcheux pour ses clients ou ses utilisateurs.
GOV 311
M. Edwards a également découvert que la technologie de Pushwoosh était intégrée dans près de deux douzaines d’applications mobiles vendues aux villes et communes de l’Illinois pour aider les citoyens à accéder à des informations générales sur leurs communautés et leurs représentants locaux.
Les applications de l’Illinois qui regroupaient la technologie de Pushwoosh ont été produites par une société appelée Government 311, qui appartient à Bill McCarty, l’actuel directeur du bureau du budget et de la gestion de Springfield. Selon un article paru en 2014 dans le State Journal-Register, la tarification de Gov 311 était basée sur la population, et l’application coûtait environ 2 500 dollars par an pour une ville d’environ 25 000 habitants.
McCarty a déclaré à KrebsOnSecurity que son entreprise a cessé d’utiliser Pushwoosh « il y a des années », et qu’elle s’appuie désormais sur sa propre technologie pour fournir des notifications push via ses apps 311.
Mais Edwards a constaté que certaines des applications 311 essaient toujours de téléphoner à Pushwoosh, comme l’application 311 de Riverton, Illinois.
« Riverton a cessé d’être un client il y a plusieurs années, ce qui explique probablement pourquoi son application n’a jamais été mise à jour pour remplacer Pushwoosh « , explique M. McCarty. « Nous sommes en train de mettre à jour toutes les applications de nos clients et de rafraîchir notre site Web. Dans le cadre de cette opération, les anciennes applications inutilisées comme Riverton 311 seront supprimées. »
MENACE ADTECH ÉTRANGÈRE ?
Selon M. Edwards, il est loin d’être clair combien d’autres applications et sites Web de l’État et des collectivités locales reposent sur une technologie qui envoie les données des utilisateurs à des adversaires américains à l’étranger. En juillet, le Congrès a présenté une version modifiée de la loi sur l’autorisation des services de renseignement pour 2023, qui comprenait une nouvelle section axée sur les données tirées des enchères publicitaires en ligne qui pourraient être utilisées pour géolocaliser les individus ou obtenir d’autres informations sur eux.
Business Insider rapporte que si cette section est intégrée dans la version finale – que le Sénat doit également adopter – le bureau du directeur du renseignement national (ODNI) aura 60 jours après l’entrée en vigueur de la loi pour produire une évaluation des risques. L’évaluation portera sur « les risques de contre-espionnage et l’exposition du personnel de la communauté du renseignement à la traque par des adversaires étrangers par le biais des données de la technologie publicitaire », indique la loi.
Edwards dit qu’il espère que ces changements seront adoptés, car ce qu’il a découvert avec Pushwoosh n’est probablement qu’une goutte d’eau dans un seau.
« J’espère que le Congrès agira sur ce point », a-t-il déclaré. « S’ils imposaient un audit annuel des risques liés aux ad tech étrangères, cela obligerait au moins les gens à identifier et à documenter ces connexions. »