Un lanceur d’alerte allègue que la société de logiciels espions scandalisée NSO Group a déjà offert à une société de sécurité des télécommunications des « sacs d’argent » pour acheter l’accès à ses réseaux cellulaires, soi-disant pour que ses clients puissent suivre des utilisateurs mobiles spécifiques aux États-Unis.
Les affirmations proviennent de Gary Miller, un professionnel de la cybersécurité qui était auparavant vice-président d’une entreprise de sécurité réseau Mobileum. Miller, qui a depuis quitté l’entreprise, a déclaré que lors d’une conférence téléphonique en 2017 entre les représentants de l’entreprise et de l’ONS, l’un des logiciels espions les dirigeants ont poussé pour l’accès à SS7, un protocole de réseau non sécurisé qui est connu pour permettre surveillance secrète de utilisateurs de téléphone sans méfiance. Interrogé sur la manière dont une telle transaction se produirait, le co-fondateur de NSO, Omri Lavie, aurait déclaré aux responsables de Mobileum : « Nous déposons des sacs d’argent à votre bureau. »
Miller affirme qu’il a initialement signalé cette rencontre au FBI via un portail de conseils en ligne en 2017, mais qu’il n’a jamais eu de réponse. Puis, l’année dernière, au milieu d’une enquête en cours du DOJ sur NSO, il a officiellement remis ses réclamations à nouveau, cette fois directement au ministère de la Justice. Il dit qu’il a également fourni des informations détaillées sur l’incident à la fois à la Securities and Exchange Commission et à la Federal Communications Commission.
SS7 aurait été un vecteur de surveillance louche pendant des années. Le protocole présente des failles de sécurité bien connues que les pirates peuvent utiliser pour écouter les appels téléphoniques et suivre les appareils. Le saoudien et chinois gouvernements, ainsi que les Israéliens entreprises de piratage pour compte d’autrui, ont été accusés d’utiliser ces failles de sécurité pour pirater des utilisateurs mobiles sans méfiance, y compris des Américains. En décembre, un entrepreneur mondial de messagerie, Mitto AG, a été également accusé de vendre l’accès SS7 à des sociétés de sécurité privées qui, à leur tour, le revendraient aux forces de l’ordre.
En réponse aux affirmations de Miller, NSO a récemment Raconté le Washington Post avec lequel ils n’avaient « jamais fait affaire » avec Mobileum, et qu’il « ne fait pas d’affaires en utilisant les espèces comme mode de paiement ». Il a également affirmé qu’il n’était « au courant d’aucune enquête du DOJ ». De la même manière, Mobileum a désavoué tout lien avec le fournisseur de logiciels espions : « Mobileum n’a – et n’a jamais eu – aucune relation commerciale avec NSO Group », a déclaré au journal le dirigeant de la société, Bobby Srinivasan.
Les allégations arrivent à un moment désastreux pour NSO, alors que les scandales en cours liés à ses produits continuent de nuire à sa réputation et de menacer ses activités futures. Plus récemment, des controverses ont émergé dans des endroits aussi éloignés que Finlande, Pologne, Israël, Hongrie, Le Salvadoret Ougandabien que des allégations d’inconduite existent dans beaucoup, beaucoup d’autres pays.
Vendredi, le New York Times publié une enquête approfondie sur les liens de l’entreprise avec le gouvernement américain, révélant que, entre autres, le FBI avait envisagé d’acheter et de déployer l’un des systèmes de surveillance de NSO à usage « domestique » en 2019. Les révélations rendent quelque peu ironique que le ministère de la Justice enquête actuellement sur NSO, puisque, selon le journal, les avocats du DOJ passé deux ans essayant de déterminer un prétexte légal pour le déploiement par le FBI des outils NSO à l’intérieur des États-Unis.