Dans le monde des télécoms, certaines entreprises nagent parfois en eaux troubles. Selon The Bureau of Investigative Journalism (BIJ), ce serait notamment le cas de Mitto AG, une entreprise suisse spécialisée dans l’envoi de SMS. Parmi ses clients figurent de grands noms de la high-tech comme Google, Twitter, WhatsApp, Telegram, LinkedIn, TikTok, Tencent ou AliBaba. Ils utilisent les services de Mitto pour envoyer des propositions commerciales, des codes d’authentification à usage ou des rappels de rendez-vous. Et s’ils ont choisi Mitto, c’est parce qu’elle est capable de couvrir plus d’une centaine de pays dans le monde, y compris des zones complexes à couvrir comme l’Iran ou l’Afghanistan.
Pour avoir cette capacité, l’entreprise a signé des accords d’interconnexion avec des opérateurs mobiles de tous ces pays. Ce que l’on ne savait pas, en revanche, c’est que ces accords d’interconnexion servent également à faire fonctionner une seconde activité, beaucoup plus secrète : la cybersurveillance. En effet, ces interconnexions lui donnent accès au protocole de signalisation SS7 dans tous ces pays. Or, ce protocole — désuet et criblé de failles de sécurité — permet assez facilement de géolocaliser un individu, voire d’intercepter ses communications.
A découvrir aussi en vidéo :
Ces services d’espionnage auraient été fournis dès 2017 à des gouvernements et à des entreprises spécialisées dans la surveillance. La société chypriote TRG Research and Development aurait par exemple utilisé la plateforme de Mitto dans le cadre de missions réalisées pour des agences gouvernementales et des forces de l’ordre. Le BIJ a obtenu ces informations en interrogeant d’anciens employés de ces entreprises.
Au sein de Mitto AG, seule une poignée de gens connaissait l’existence de cette offre de cybersurveillance que l’entreprise a officiellement démentie. Contactée par BIJ, elle soutient ne pas avoir d’entité « qui fournit aux sociétés de surveillance un accès à l’infrastructure de télécommunications pour localiser secrètement des personnes via leurs téléphones portables ou d’autres actes illégaux ». De son côté, TRG a également réfuté toute relation commerciale avec Mitto AG
Source: BIJ