Publié

Un logiciel russe utilisé par Fedpol et Armasuisse suscite des inquiétudes sécuritaires

Un logiciel russe utilisé par Fedpol et Armasuisse. [KEYSTONE - JEAN-CHRISTOPHE BOTT]
Un logiciel russe utilisé par Fedpol et Armasuisse. - [KEYSTONE - JEAN-CHRISTOPHE BOTT]
Un système russe de décryptage des iPhone et PC est utilisé par Fedpol et Armasuisse. Certains experts n'excluent pas les risques de cybersécurité que font encourir l'usage par ces deux institutions fédérales du logiciel russe.

Elle s'appelle Elcomsoft. C'est une société russe active dans le domaine des enquêtes numériques. Elle produit des logiciels généralement utilisés par des experts légistes ou des entreprises privées pour récupérer des mots de passe et décrypter des téléphones portables ou des ordinateurs.

Une enquête de RSI (Radiotelevisione svizzera di lingua italiana) révèle qu'une application d'Elcomsoft est également utilisée par la police fédérale (Fedpol) et Armasuisse. Dans une période où les cyberattaques en provenance de Moscou sont inquiétantes, des experts mettent en garde contre les risques que cela comporte.

Basé à Prague, pas à Moscou... officiellement

Au premier coup d'œil, sur le site internet de l'entreprise accessible depuis la Suisse ou l'Europe, on lit qu'Elcomsoft est basé dans le quartier de Bubeneč à Prague. Mais en réalité, son siège se trouve sur le boulevard Zvozdny à Moscou. L'adresse russe n'a été supprimée du site qu'après le début de la guerre en Ukraine.

Grâce au site web.archive.org, les journalistes de RSI ont découvert qu'en novembre 2021, quelques mois avant l'invasion à grande échelle de l'Ukraine par l'armée russe, le siège de l'entreprise à Moscou était en effet répertorié sur le site internet de l'entreprise.

Capture d'écran sur web.archive.org en novembre 2021, avant l'invasion russe. [RSI]
Capture d'écran sur web.archive.org en novembre 2021, avant l'invasion russe. [RSI]
Capture d'écran sur web.archive.org en mars 2022, après l'invasion russe. [RSI]
Capture d'écran sur web.archive.org en mars 2022, après l'invasion russe. [RSI]

Et à Moscou, l'entreprise est toujours active aujourd'hui, comme le montre également le registre du commerce russe. Les employés d'Elcomsoft, les programmeurs et le PDG retrouvés sur LinkedIn sont également des résidents de la Fédération de Russie.

Entreprise d'espionnage numérique

Elcomsoft a été fondée dans les années 1990. "L'entreprise – lit-on sur son site – propose des solutions aux avocats pénalistes et aux forces de l'ordre, dans le domaine de la médecine légale, du mobile et du cloud computing."

En fait, entre autres choses, elle produit des logiciels permettant de récupérer des mots de passe et d'accéder à des téléphones portables ou à des ordinateurs verrouillés par mot de passe. Ils peuvent être utilisés, par exemple, pour pénétrer dans le téléphone ou l'ordinateur de suspects.

Fedpol et Armasuisse confirment l'utilisation du logiciel

Sur le site d'Elcomsoft, on lit que ses outils sont utilisés "par la majorité des entreprises" du classement Fortune 500, par "des unités militaires, des gouvernements étrangers et tous les grands cabinets comptables".

Parmi ses clients, on trouve également l'Office fédéral de la police (Fedpol) et l'Office fédéral de l'armement (Armasuisse).

Armasuisse a répondu aux questions de RSI par e-mail en expliquant qu'elle avait en fait "acheté le logiciel auprès de ce fabricant à des fins de test". L'Office fédéral de l'armement n’a toutefois pas précisé quels moyens de test sont mis en place ni comment le produit est utilisé.

Fedpol a d'abord refusé de répondre pour des raisons de sécurité. Après certaines demandes de RSI et grâce à la loi sur la transparence, Fedpol a alors confirmé qu'"en 2024, elle avait acheté des licences pour quatre produits à la société Elcomsoft". La police fédérale a également précisé à RSI qu'elle utilise les produits exclusivement "hors ligne" (c'est-à-dire non connectés au réseau) et qu'elle a "acheté ces dernières années des produits équivalents dont les noms ont changé au fil du temps".

"Un logiciel équivalent à une arme"

Pour Sébastien Fanti, ancien délégué à la protection des données du canton du Valais et expert de ces technologies, l'utilisation de tels logiciels fait peser de sérieux doutes sur la cybersécurité nationale.

"Il s'agit d'une entreprise russe qui s'occupe du développement de produits forensiques pour la surveillance. C'est ainsi une entreprise qui est soumise au droit russe", explique-t-il. "Donc potentiellement, les autorités et les services secrets de Moscou peuvent avoir accès aux résultats des enquêtes menées à l'aide de ce logiciel."

Sébastien Fanti n'est pas rassuré par le fait que le programme soit utilisé par Fedpol de manière "hors ligne". "Il suffit qu'à un moment donné ce logiciel entre en contact avec n'importe quel réseau pour que quelqu'un puisse accéder et rapatrier toutes les données."

Nous devons donner la priorité aux partenaires de confiance qui travaillent dans un pays où le respect du droit et des règles démocratiques est assuré. Ce n’est pas le cas en Russie

Sébastien Fanti, ancien délégué à la protection des données du canton du Valais

Qu'est-ce qui garantit qu'il n'y a pas de porte dérobée ? "Rien", répond Sébastien Fanti. Et ces "portes secrètes permettant d'accéder aux ordinateurs sont très souvent installées par défaut, car elles peuvent aussi servir à la maintenance. En outre, des portes dérobées peuvent être installées pour garantir que l’outil ne se retournera pas un jour contre son propre pays."

Il conclut: "Vous devez choisir vos partenaires avec beaucoup de soin, car vous ne pouvez pas prendre de risques. Nous devons donner la priorité aux partenaires de confiance qui travaillent dans un pays où le respect du droit et des règles démocratiques est assuré. Ce n’est pas le cas en Russie." Pour l'expert, ce logiciel de surveillance "est une arme. Et cela devrait être traité comme tel".

Des doutes au Palais fédéral

L’utilisation de ce logiciel suscite également des interrogations sous la Coupole du Palais fédéral. Pour Gerhard Andrey, conseiller national vert et membre de la Commission de la politique de sécurité, "il s'agit d'un véritable outil pour pirater un iPhone".

"Si nous dépendons trop d'outils d'entreprises étrangères basées dans des pays qui nous posent problème, comme la Russie ou la Chine, cela constitue un problème en général", poursuit l'élu fribourgeois. "C'est évidemment le cas de ce logiciel, également très sensible en termes de fonctionnalités. Il est utilisé pour pirater des ordinateurs ou des appareils Apple. C'est donc quelque chose de très délicat."

Et pour Gerhard Andrey aussi, le fait qu’il soit utilisé "hors ligne", c’est-à-dire déconnecté du réseau, n’est pas synonyme de sécurité à 100%. "En général, ce type d'applications ne doivent pas être utilisées en connexion avec internet, car cela serait très compliqué et très dangereux pour des raisons de sécurité. Mais il y a évidemment des mises à jour qui viennent de quelque part. S'il s'agit d'un prestataire de services qui n'est pas en Suisse, alors pour effectuer ce transfert de données, vous devez disposer d'une bonne gestion de la sécurité sur le logiciel". 

RSI a aussi essayé de contacter l'entreprise Elcomsoft. Dans un premier temps, les journalistes ont reçu une réponse du PDG Vladimir Katalov lui-même, qui s'est déclaré favorable à une interview. Cependant, il n'a pas encore apporté de réponse aux demandes et questions du média tessinois.

Enquête: Mattia Pacella (RSI)

Adaptation web: Julien Furrer (RTS)

Publié

Les aventures d'Elcomsoft aux USA

Elcomsoft a défrayé la chronique aux États-Unis au début des années 2000 lorsqu'un de ses programmeurs a été arrêté puis relâché pour des délits liés à la loi américaine sur le droit d'auteur. L'homme a été acquitté des années plus tard.

Plus récemment, la société a de nouveau fait la une des journaux en poursuivant en justice un concurrent en Russie, accusé d'avoir volé un code pour pénétrer profondément dans les iPhones. Le litige a révélé une faiblesse et une possible vulnérabilité du système d'exploitation iOS 16 d'Apple.

On ne sait pas si les problèmes de la dernière version d’Apple iOS 17 ont été résolus. Cependant, sur le site d'Elcomsoft, il est écrit que l'application "Forensic Toolkit" fonctionne avec toutes les versions d'iPhone et d'iPad, y compris iOS 17. Cependant, RSI n'a aucune confirmation sur l'efficacité de ce "Toolkit".

Soupçon d'espionnage

Le PDG et cofondateur de l'entreprise Vladimir Katalov est mathématicien diplômé de l'Institut d'ingénierie et de physique de Moscou. De 1987 à 1989, il était sergent dans l'armée soviétique.

Vladimir Katalov a été interrogé aux États-Unis en 2011 par deux employés du gouvernement américain. Interviewé par Forbes, il a expliqué que les agents voulaient savoir si son entreprise était liée au Kremlin et si son logiciel disposait de "portes dérobées" permettant aux agents moscovites d'accéder aux réseaux américains.

Ils lui auraient également demandé de remettre une liste de clients et le code source. Vladimir Katalov aurait nié avoir des liens avec les services de renseignement de Moscou et aurait également nié que ses produits contenaient des vulnérabilités cachées.

L'exemple de la Garde nationale aérienne

Au fil des années, Elcomsoft a également vendu ses produits à des entreprises et à des forces de police aux États-Unis. Par exemple, parmi la liste des clients en possession de RSI figuraient, entre autres, la Garde nationale aérienne.

Contactée par RSI, la Garde nationale aérienne a nié utiliser le logiciel Elcomsoft. À ce jour, il est difficile de savoir combien d’entreprises et d’institutions aux États-Unis utilisent ces produits. Le FBI a récemment mis en garde contre les risques de cybersécurité liés à l'utilisation d'une série d'applications produites en Russie.