Des données de surveillance qui bouleversent les idées reçues sur le suivi de localisation

 (lighthousereports.com)
2 points par GN⁺ 2025-10-15 | 2 commentaires | Partager sur WhatsApp
  • First Wap, une entreprise de technologie de surveillance presque inconnue, a vendu à des sociétés privées et à d’autres acteurs Altamides, un logiciel puissant capable de suivre la localisation de personnes dans le monde entier
  • En analysant une archive de plus de 1,5 million d’enregistrements obtenue par Lighthouse Reports et des médias partenaires, les journalistes ont mis au jour une réalité où des responsables politiques, des chefs d’entreprise et des personnes ordinaires ont été visés par une surveillance illégale
  • Le secteur de la surveillance affirmait que ces outils n’étaient utilisés que pour les enquêtes criminelles, mais l’enquête révèle qu’en pratique des usages privés et contraires à l’éthique, au-delà des gouvernements, sont également tolérés
  • First Wap a construit un système mondial de suivi en exploitant les failles de sécurité de l’ancien protocole télécom SS7, puis a renforcé sa plateforme avec des fonctions d’écoute d’appels et de piratage de messageries chiffrées
  • Une enquête sous couverture a montré que la direction de l’entreprise était consciente des risques liés à des ventes détournées pour contourner les sanctions, tout en continuant à discuter de ces transactions

Le vrai visage du business de la surveillance : le traçage d’Altamides à l’échelle internationale

Ce que le salon de Prague a révélé sur l’industrie de la surveillance

  • En juin 2024, lors d’ISS World, un salon confidentiel consacré aux technologies de surveillance, Günther Rudolph, cadre commercial de First Wap, a évoqué lors d’une discussion sur la vente du logiciel de traçage Altamides à une société minière privée le fait qu’« il pourrait aller en prison s’il servait d’intermédiaire dans l’opération »
  • Son interlocuteur représentait alors une entreprise appartenant à une personne sous sanctions, qui voulait surveiller des militants écologistes ; Rudolph a laissé entendre une capacité technologique exclusive en affirmant : « nous sommes les seuls à pouvoir le faire »
  • Mais l’acheteur potentiel était en réalité un journaliste infiltré de Lighthouse Reports

Une vaste archive de suivi de localisation et une enquête internationale conjointe

  • Le point de départ a été l’analyse d’une archive de plus de 1,5 million de données de suivi de localisation découvertes sur le deep web par un journaliste de Lighthouse
  • Plus de 70 journalistes issus de 14 médias ont participé à l’enquête, en identifiant les propriétaires des numéros de téléphone et en classant les groupes cibles (clusters) pour comprendre l’ampleur du système
  • Les données couvraient des personnes situées dans 160 pays, notamment d’anciens et actuels hauts responsables politiques, des dirigeants d’entreprise et des citoyens ordinaires
  • Exemples : l’ancien Premier ministre du Qatar, l’épouse de l’ancien président syrien Bashar al-Assad, une productrice de Netflix, le fondateur de Blackwater, la fondatrice de 23andMe, des dirigeants de Red Bull, entre autres, ont fait l’objet d’un suivi très large
  • Pendant l’analyse des données et l’enquête, les journalistes de différents pays ont également vérifié des indices de surveillance sur leur territoire et identifié d’autres victimes

La position de First Wap et l’autodéfense du secteur

  • First Wap affirme n’avoir « aucun lien avec des actes illégaux ou des violations des droits humains » et refuse de commenter précisément le dossier en invoquant le risque de révéler l’identité de ses clients
  • L’entreprise insiste sur une position de principe : une fois le système installé, elle n’intervient pas dans les usages, et les forces de l’ordre s’en serviraient contre le crime organisé, le terrorisme et la corruption
  • L’ensemble du secteur a entretenu le récit d’un usage limité à la lutte contre le terrorisme et la criminalité, mais cette enquête montre qu’en réalité des usages gouvernementaux ou non, commerciaux ou privés, sont tous tolérés

Un logiciel de surveillance sans frontières : une réalité où tout le monde peut devenir victime

Cas concrets de victimes d’Altamides

  • En 2012, « Sophia » (pseudonyme), en vacances sur une plage de Goa en Inde, a vu sa position suivie au moyen d’un système de surveillance de niveau étatique par un homme animé d’une obsession personnelle
  • Comme le montre ce cas, Altamides s’est diffusé au-delà des gouvernements vers des acteurs privés (harceleurs, entreprises, etc.), et parmi les victimes figurent aussi des personnes ordinaires : enseignants, thérapeutes, tatoueurs et autres profils du quotidien

Circuits de distribution et expansion du logiciel

  • First Wap a vendu son logiciel dans le monde entier via un réseau d’intermédiaires et de distributeurs
  • KCS Group, société britannique d’enquête et de conseil, a tenté de vendre Altamides à des gouvernements d’Afrique du Nord et d’Asie ; des documents montrent aussi une volonté d’exploiter l’instabilité politique (le Printemps arabe) comme opportunité commerciale
  • KCS a déclaré officiellement n’avoir « participé ni à la vente ni à l’usage d’outils de surveillance contraires à l’éthique »

Le pionnier discret qui a dominé le secteur

Origines techniques et croissance d’Altamides

  • Josef Fuchs, ancien de Siemens, a découvert au début des années 2000 les failles de SS7 dans les réseaux télécoms mondiaux, puis a réorienté l’activité de First Wap, passant du marketing par SMS à un logiciel de traçage de téléphones mobiles
  • Dès l’époque des feature phones BlackBerry et Nokia, l’entreprise a mis en place un système permettant, en saisissant simplement un numéro de téléphone, de localiser une personne partout dans le monde
  • Par la suite, les fonctions se sont étendues à l’interception de SMS, l’écoute d’appels et le piratage de messageries chiffrées comme WhatsApp

Domination du marché mondial et gestion dans l’ombre

  • Pendant plus de 20 ans, First Wap a discrètement bâti un empire mondial de la surveillance sans véritable frontière ni contrainte juridique, ne fixant pratiquement aucune limite au périmètre de ses activités

Ce que l’enquête infiltrée a révélé au-delà des procédures officielles

Limites éthiques et pratiques de contournement

  • Dès les premiers contacts et l’analyse des documents, l’enquête a mis au jour des cas de surveillance de personnes sans lien avec la criminalité ordinaire ainsi que des usages par des régimes autoritaires et des acteurs non étatiques
  • First Wap affirme n’appliquer des procédures strictes de respect des sanctions et d’examen préalable qu’à ses clients gouvernementaux avant toute signature de contrat
  • Le journaliste infiltré, sous une fausse identité (dirigeant d’une société de conseil sud-africaine), a participé à ISS World à Prague et rencontré un commercial bien réel pour tester la faisabilité de projets de surveillance pour des entreprises privées et à visée politique
  • À propos des cas à risque, le directeur commercial Rudolph a reconnu des méthodes de contournement, expliquant que malgré les sanctions européennes, une transaction restait possible via une filiale en Indonésie et l’usage de sociétés écrans
  • Après avoir été informée de l’infiltration, First Wap a ensuite expliqué à Lighthouse que « les propos tenus évoquaient une possibilité technique » et qu’« il y avait eu malentendu »

À lire aussi

2 commentaires

 
crawler 2025-10-15

Est-ce que c’est vraiment réel, et pas une histoire qui ressemble à une théorie du complot ?
Même s’il s’agit d’une vulnérabilité du protocole lui-même, il doit y avoir des centaines d’opérateurs télécoms, donc j’ai du mal à croire qu’on puisse suivre le monde entier comme ça.
Et au départ, comment sauraient-ils et identifieraient-ils le numéro de téléphone du président des États-Unis, de Jensen Huang, ou de Chunsik qui habite à côté de chez moi ?
 
GN⁺ 2025-10-15
Commentaire Hacker News

  • J’aimerais que les journalistes explorent davantage pourquoi de telles technologies de surveillance et le partage de ces informations sont autorisés, ainsi que les motivations qui rendent leur existence possible. En lisant les mémoires d’Obama, <A Promised Land>, j’ai eu le sentiment que, du point de vue d’un dirigeant directement responsable de la sécurité du public, la position sur la surveillance change complètement. Chaque fois que je vois des caméras Flock ou des dispositifs de surveillance en magasin, j’ai l’impression que les dirigeants sont moins préoccupés par le risque abstrait d’abus que fascinés par le pouvoir même de cette technologie. Cela me fait penser à une société où les reportages sur les risques d’incendie ne mentionneraient jamais la nécessité de systèmes préventifs comme les lois anti-incendie, les détecteurs de fumée ou les normes sociales. J’aimerais lire un article qui enquête sur les responsables de l’installation des caméras Flock, sur les raisons de leur déploiement, et sur les moyens d’obtenir des résultats positifs (par exemple l’arrestation de voleurs de voitures) sans les effets négatifs (profilage, harcèlement, suivi de personnes non criminelles, etc.)

    • Tout le monde finit par croire qu’il utilisera correctement le pouvoir une fois qu’il l’aura entre les mains. En théorie, si un gouvernement parfait disposait de tous les pouvoirs de surveillance, il pourrait en résulter des avantages comme une baisse de la criminalité, mais dans la réalité, les grandes organisations ne sont pas capables d’un contrôle aussi fin, et même si un dirigeant commence avec de bonnes intentions, des problèmes surgissent à cause des cadres intermédiaires ou de données inexactes. Même un bon dirigeant choisit facilement mal son successeur, et au final il est très probable qu’un leader corrompu finisse par arriver au pouvoir. De plus, même si la décentralisation ou la vie privée ne sont pas idéales, elles doivent absolument subsister comme solution de secours au cas où un système centralisé de surveillance dysfonctionnerait un jour

    • Je pense que dire qu’Obama a voulu réformer la surveillance de masse mais qu’une fois réellement chargé de la sécurité du pays son attitude a changé n’est qu’une excuse. À cause du risque politique d’être tenu pour responsable d’un malheur survenant après une réforme de la surveillance, même s’il n’a aucun lien avec elle, on finit par abandonner une position juste défendue pendant la campagne pour éviter les ennuis. Il est tout à fait possible de prévenir le crime sans surveillance de masse, et on peut aussi réduire les actes nuisibles en réduisant la pauvreté. Quelle que soit la politique adoptée, on ne pourra jamais ramener le risque à 0 %, donc renoncer à une réforme juste par peur des critiques, c’est un manque de courage

    • Je ne suis pas totalement opposé à la surveillance en soi. Je veux simplement qu’elle soit transparente et strictement limitée au minimum nécessaire. Par exemple, si la police veut consulter mon historique de recherche Google, elle devrait obligatoirement obtenir un mandat, en justifier le motif, puis notifier le titulaire du compte après un certain délai. Si l’accès à un téléphone est nécessaire, il serait plus juste de l’obtenir par une procédure formelle puis de demander directement le mot de passe à la personne concernée, plutôt que de le pirater en secret. L’intérêt est que ces actes deviennent suffisamment visibles pour décourager les abus, au lieu de surveiller tout le monde en permanence. De plus, les données d’entreprise introduites à des fins de prévention du vol, comme la reconnaissance faciale, ne devraient pas être utilisées pour le marketing ou l’analyse, et la loi devrait imposer leur suppression au bout d’un certain délai

    • Cela souligne que la raison pour laquelle ces technologies de surveillance sont tolérées, c’est au fond l’« indifférence » du public

    • Si l’idée selon laquelle « ne pas traiter le problème ne coûte rien » est si répandue, c’est parce qu’on impose à tout le monde de petits coûts flous et difficiles à mesurer, tout en les présentant comme quelque chose qui pourrait un jour sauver une vie. C’est une méthode très appréciée partout dans le monde par les personnes malveillantes et les commentateurs sans scrupules. La société gère mal les défauts structurels où « la perte est minime individuellement mais énorme collectivement ». Si, pour sauver une seule vie par an aux États-Unis, chacun devait y consacrer une minute par jour, la perte réelle serait plus grande que la vie sauvée, mais dès lors que le préjudice est subjectif, plus personne ne soulève le problème

  • Une entreprise appelée First Wap permet de suivre des personnes. Son produit principal est un logiciel qui fonctionne au niveau du réseau de télécommunications. Le point important ici est que les opérateurs téléphoniques prennent toujours en charge l’ancien protocole Signalling System 7 (SS7). Pour qu’un réseau téléphonique puisse acheminer des SMS ou des appels en fonction de la localisation d’un utilisateur, il doit nécessairement échanger des requêtes de localisation. La vulnérabilité fondamentale est que les réseaux traitent ces commandes de requête sans même vérifier qui est réellement l’émetteur ni dans quel but il les envoie. Ces signaux (messages de signalisation) ne sont absolument pas visibles sur le téléphone de l’utilisateur et circulent uniquement entre des numéros de nœuds réseau appelés « Global Titles (GT) »

    • Fait « amusant » : les « autres réseaux » incluent aussi tous les réseaux partenaires d’itinérance internationale. Cela signifie qu’en exploitant la faille SS7, il est possible de suivre la position de quelqu’un depuis un autre continent

    • Je me demande si les opérateurs ne vendent pas tout simplement les données des utilisateurs elles-mêmes. Il y a aussi eu des amendes de la FCC pour la vente de ces informations sans consentement des utilisateurs lien de référence

  • En 2025, les vulnérabilités des réseaux SS7 existent toujours. Des attaquants peuvent intercepter le trafic SS7 en installant une femtocellule (petite station relais) ou un IMSI catcher (fausse station de base). En GSM, le terminal authentifie le réseau, mais le réseau n’authentifie pas le terminal, ce qui facilite l’attraction des téléphones vers un IMSI catcher. Même en LTE, des tentatives de contournement de la sécurité sont menées en forçant une dégradation de la connexion via une fausse station de base. Détails du fonctionnement de l’attaque

  • Il existe un article intitulé <i>Why the US still won’t require SS7 fixes that could secure your phone</i> (2019) : la FCC américaine y tarde à corriger les vulnérabilités SS7, ignore même les avis techniques du Department of Homeland Security (DHS), et bien que des bonnes pratiques aient été proposées (comme l’application de plusieurs systèmes de filtrage), on continue en pratique à dépendre d’une mise en œuvre purement volontaire lien vers l’article

  • Je trouve étonnant que ce genre de « secrets » soit rapporté dans la presse aujourd’hui. Les sources de l’article semblent rendues volontairement vagues. Il dit seulement : « Lighthouse found a vast archive of data on the deep web », mais cela ne revient-il pas à dire qu’une entreprise de surveillance a simplement mis les informations de milliers de personnes dans quelque chose comme un bucket S3 ouvert ? En réalité, ce secteur attaque souvent les failles de sécurité des autres pour écouter et surveiller, tout en exposant ses propres données à l’extérieur à cause d’erreurs basiques. La fuite TM_Signal aussi venait du fait qu’un fichier d’archives de messages de hauts responsables américains était stocké dans un S3 ouvert. Il y a quelque chose d’ironiquement triste dans le fait qu’une société de sécurité qui vit du pillage des données d’autrui laisse ses propres données visibles par n’importe qui

    • Il est possible que les gens de ce secteur soient tellement spécialisés dans leur domaine qu’ils n’aient en réalité aucune expérience de l’administration cloud. Il y a de fortes chances qu’ils aient configuré S3 en copiant-collant depuis Stack Overflow et qu’ils se soient trompés. Quand on traite à la légère un domaine qui n’est pas son activité principale, ce genre d’incident arrive facilement. Quand l’expertise est ailleurs, ce type d’erreur est parfaitement compréhensible. Ces gens vous trouveraient peut-être plus idiot encore d’utiliser les SMS

  • Pour les personnes intéressées, Lighthouse Reports a publié un texte qui explique en détail, d’un point de vue technique, la méthodologie de son enquête sur la surveillance lien vers l’explication technique

  • Cela me rappelle une présentation vue autrefois au CCC (Chaos Communication Congress), « SS7: Locate. Track. Manipulate. », en 2014 lien vers la vidéo

    • La première était la présentation de Tobias Engel en 2008 au 25C3, « Locating Mobile Phones using SS7 » lien vidéo

  • L’article mentionne « 1,5 million d’entrées, plus de 14 000 numéros uniques, des enregistrements de surveillance couvrant environ 160 pays » ; j’aimerais qu’il existe un site comme HIBP (Have I Been Pwned) pour vérifier si mon numéro y figure

  • Stallman était rude et atypique, mais il avait raison sur un point : les appareils présentant un risque pour la vie privée devraient rendre public jusqu’à leur code et leurs transistors