Vulkan (entreprise russe)

Histoire
Fondation	2010
Type	Entreprise
Siège	Moscou
Pays	Russie
Fondateurs	Anton Markov (d), Alexander Irzhavsky (d)
Directeur	Anton Markov (d) (depuis 2010)
Site web	(ru) ntc-vulkan.ru

Vulkan (aussi dénommée NTTS "VULKAN" LLC, Obshchestvo S Ogranichennoi Otvetstvennostiu "Nauchno-Tekhnicheskii Tsentr ‘Vulkan'" ou Société à Responsabilité Limitée "Centre Scientifique et Technique 'Vulcan' (Общество С Ограниченной Ответственностью "Научно-Технический Центр ‘Вулкан'") est une entreprise russe se présentant comme spécialisée dans la cybersécurité, fondée en Russie où elle s'est officiellement déclarée le 3 juin 2010^[1], et tout en se présentant comme au service d'entreprises (banques, assurances) et d'un monde meilleur, elle semble en réalité s'être développée en produisant des logiciels espions, de surveillance et de contrôle des communications, vendus aux forces de sécurité russes, et à divers gouvernements et entreprises dans le monde. En 2023, l'entreprise est critiquée pour sa contribution à la désinformation et à la déstabilisation (utilisées par la Russie au moins en Ukraine et en Arménie), et plus généralement aussi pour sa contribution à la surveillance de masse, via la vente de logiciels espions à des pays totalitaires où ils servent à espionner des personnes décrivant ou critiquant le régime en place.
Pour le Conseil de l'Europe (23 juin 2023) : « NTTS "VULKAN" LLC est une entité active dans le secteur de l'informatique russe avec une licence délivrée par le Centre d'attribution de licences, de certification et de protection des secrets d'État du FSB » (service de renseignement de la Russie, chargé des affaires de sécurité intérieure, principal successeur de l'ancien KGB)^[2]. L'entreprise comptait 135 employés début 2023, selon les informations données par les sites d'information économique russes. Son siège principal est basé au nord-est de Moscou, mais elle a un siège secondaire dans le Connecticut aux États-Unis.

Polémiques et critiques modifier

En janvier 2023, le consortium de médias internationaux Forbidden Stories (qui a aussi enquêté sur le logiciel espion Pegasus), en lien avec plusieurs grands médias internationaux, dont The Guardian, Der Spiegel, The Washington Post et Le Monde, a publié une enquête baptisée Spyware for the State. Ce travail a révélé que Vulkan, qui se présentait officiellement comme au service de banques et d'assurances, a vendu ses produits à des gouvernements autoritaires tels que, notamment, la Chine, l'Arabie saoudite et le Kazakhstan^[3]. Les journalistes ont montré que ces produits logiciels, qui permettent notamment d'intercepter des communications (téléphoniques et électroniques), de localiser des personnes et d'accéder à leurs données personnelles, ont pu être utilisés pour une surveillance ciblée de dissidents politiques, des journalistes et des militants des droits de l'homme^[4].

L'enquête a aussi montré que Vulkan, depuis 2016 a créé des outils cyber offensifs pour différents services de renseignement russes. Parmi les outils majeurs révélés en 2023, produit par cette entreprise, figurent :

Amezit : un puissant logiciel de création massive et de gestion de faux profils sur les réseaux sociaux, utilisé pour mener des campagnes de cyberinfluence et de désinformation à grande échelle ou de manière ciblée. Les documents montrent une maquette d'exemples de possibilités de piratage possibles incluant en Suisse le ministère des affaires étrangères ainsi qu'une centrale nucléaire^[4]. Selon Euractiv, l'outil Amezit est à la fois conçu pour censurer, surveiller et manipuler l'information ; mais aussi pour détecter des vulnérabilités et des failles de sécurité de logiciels d'équipements télécoms spécifiques d'entreprises dont Huawei, Juniper et Cisco. L'enquête « Vulkan Files » a identifié plusieurs centaines de comptes sur Twitter qui sont en fait des robots pouvant être directement ou indirectement liés à Vulkan. Pour cacher l'origine russe (ou autre) des activités conduites avec les logiciels de Vulkan, leurs instructions « incluent la création de comptes de messagerie sur Gmail, Yahoo! et Hotmail et les transactions de paiement en cryptomonnaie ou via des cartes de crédit prépayées^[5]. De plus, le sous-système LPI/Legend vise à dissimuler l’origine des données soit en supprimant les métadonnées, soit en les falsifiant délibérément » précise Euractiv en mars 2023^[5].

Skan ou Scan-V, un outil de scanning et d'interception numérique, utilisé depuis 2018, capable de collecter un grand nombre d’informations (en grande partie publiques, dont certains sites Internet informant sur les failles de sécurité) relatives à des cibles (infrastructures, départements, employés, vulnérabilités…) pour préparer de potentielles cyberattaques ou pour espionner à distance. Selon Euractiv « dans le cadre d’un outil plus vaste, il analyse les systèmes cibles à la recherche de vulnérabilités afin de coordonner les attaques en interne. Tous les points de vulnérabilité sont journalisés et stockés dans une base de données »^[5].

Selon des documents internes (Vulkan files)^[6] des années 2016 à 2021 étudiés par le consortium journalistique ; documents relatifs à des tests mandatés par l’État, des changements souhaités par les clients et des projets terminés, Vulkan semble avoir ainsi aidé les services de renseignement russes, et en particulier le FSB (sécurité intérieure), mais aussi le GRU (renseignement militaire)^[7], et son unité militaire 74455 de pirates informatiques, dite « Sandworm »^[8], qui est l'équipe de hackers du GRU accusée d'être à l'origine des MacronLeaks (tentative d'influence lors de l’élection présidentielle française de 2017)^[7]. La fuite de documents montre aussi des liens avec le groupe de pirates informatiques Cozy Bear^[9], et plus étroitement avec l'Institut de recherche en radiocommunications de Rostov-sur-le-Don (RNIIRS, considéré comme l'un des maillons clé du complexe militaro-industriel russe)^[7] ; Vulkan aurait expressément été mandatée par l'Etat russe « pour le développement et la fabrication de moyens de protection d'informations confidentielles » et « pour l'exercice d'activités impliquant l'utilisation d'informations constituant un secret d'État »^[7] ou encore pour créer des programmes destinés à créer de fausses pages de médias sociaux et de logiciels rendues capables d’identifier et de stocker des listes de vulnérabilités dans les systèmes informatiques du monde entier, pouvant ensuite servir à d'éventuels ciblages.

Selon le Washington Post, « Les documents suggèrent que l’entreprise soutenait des opérations, y compris la désinformation sur les médias sociaux et la formation pour perturber à distance des cibles du monde réel, telles que les systèmes de contrôle maritime, aérien et ferroviaire (…) Des responsables de cinq agences de renseignement occidentales et de plusieurs sociétés indépendantes de cybersécurité ont déclaré qu’ils pensaient que les documents étaient authentiques, après avoir examiné des extraits à la demande du Washington Post et de plusieurs organes de presse partenaires »^[4]. En outre, d'anciens employés de Vulkan ont ensuite été retrouvés travaillant pour de grandes entreprises occidentales, dont Amazon et Siemens^[4].

En juin 2023, le journal The Verge révèle en outre que « Vulkan, l'entreprise russe de cybersécurité sanctionnée par l'Union européenne, a un siège social aux États-Unis », à Fairfield, dans le Connecticut, dirigé par un ressortissant américain (David M. Smith. Smith, alors en charge du développement des logiciels de surveillance de l'entreprise), et selon The Verge, des logiciels de surveillance ont été créés dans ses bureaux de Fairfield, utilisés par la Chine, l'Arabie saoudite et le Kazakhstan, pour cibler des dissidents politiques, des journalistes et des militants des droits de l'homme. Le journal s'interroge sur le rôle des entreprises américaines dans la surveillance de masse.

Réactions d'ONG et d'États ou de l'Europe modifier

À la suite de ce travail d'enquête, les gouvernements, mais aussi les entreprises utilisant ces produits de Vulkan ont été critiqués pour leur soutien à la surveillance de masse. Parmi les entreprises occidentales clientes de Vulkan figuraient Dell (fabricant d'ordinateurs) qui a cependant déclaré avoir depuis terminé sa coopération avec Vulkan^[10].

Deux autres scandales (logiciels espions Pegasus et Predator, ce dernier ayant été vendu à des gouvernements tels que l'Égypte, le Qatar, les Émirats arabes unis et le Pakistan et « utilisé pour espionner les téléphones de centaines de politiciens, de journalistes, de militants des droits humains et de chefs d’entreprise du monde entier »^[11] ; il a été conçu pour prendre le contrôle de la caméra et du microphone des appareils infectés, les transformant en espions), ont incité la France et la Grande-Bretagne à lancer un appel à une réglementation mondiale des logiciels et technologies de surveillance (lors d'une initiative conjointe au Forum de la paix à Paris)^[11].
Leur « utilisation non règlementée pose un problème non seulement en termes de sécurité et de stabilité du cyberespace, mais aussi en termes de respect des droits de l'homme (…) Un marché non règlementé présente aussi un risque de prolifération », rappellent les deux pays^[11].

Le Conseil de l'Europe a de son côté interdit à Vulkan de vendre ses produits dans l'Union européenne, en raison du rôle, direct ou indirect de l'entreprise, dans l'invasion et la invasion de l'Ukraine, après avoir constaté que Vulkan « détient une licence délivrée par le FSB. La licence du FSB est délivrée aux sociétés d'informatique qui développent des technologies de cryptage et de cryptographie, des systèmes informatiques et des systèmes de télécommunications pour les services de renseignement russes, ainsi qu'aux sociétés d'informatique qui développent des « systèmes de gestion de bases de données à caractère personnel » pour les services de sécurité russes (c'est-à-dire des outils spécifiquement conçus pour stocker, récupérer et gérer de grandes quantités de données obtenues par exemple par moissonnage des médias sociaux ou d'autres pratiques de collecte de renseignements) »^[2].

Notes et références modifier

↑ Lieu d'enregistrement : fédération de Russie (105318, Moscou, ul. Ibragimova, 31) ; numéro d'identification fiscale : 7719751930 ;
↑ ^{a et b} « Décision (PESC) 2023/1218 du Conseil du 23 juin 2023 modifiant la décision 2014/145/PESC concernant des mesures restrictives eu égard aux actions compromettant ou menaçant l’intégrité territoriale, la souveraineté et l’indépendance de l’Ukraine », sur EUR-Lex.
↑ « Vulkan, concepteur d'armes numériques pour les services russes, sanctionné par l'Union européenne », sur Le Monde.fr, 23 juin 2023 (consulté le 10 novembre 2023).
↑ ^{a b c et d} (en) « Secret trove offers rare look into Russian cyberwar ambitions », sur Washington Post, 30 mars 2023 (consulté le 10 novembre 2023).
↑ ^{a b et c} (en-GB) Alina Clasen, « Vulkan Files reveal Russia’s cyberwarfare strategy », sur euractiv.com, 31 mars 2023 (consulté le 10 novembre 2023).
↑ (de) DER SPIEGEL, Hamburg, Germany, « »Vulkan Files« - DER SPIEGEL », sur spiegel.de (consulté le 10 novembre 2023).
↑ ^{a b c et d} Folivao, « Dans les coulisses de Vulkan, la cyberarmurerie des services russes », sur r/france, 31 mars 2023 (consulté le 10 novembre 2023).
↑ Unité notamment mentionnée mentionné dans le livre Spy 001 - Code Vektor, écrit par le journaliste français Jean-Marc Manach, qui retrace l'histoire des cyberattaques du GRU, et met en lumière le rôle de l'unité 74455 dans ces attaques.
↑ (en-GB) Alina Clasen, « Vulkan Files reveal Russia’s cyberwarfare strategy », sur euractiv.com, 31 mars 2023 (consulté le 10 novembre 2023).
↑ « «Vulkan Files»: comment Poutine mène sa cyberguerre », sur watson.ch, 31 mars 2023 (consulté le 10 novembre 2023).
↑ ^{a b et c} (en-US) Jimisayo Opanuga, « France, UK seek greater regulation of commercial spyware », sur The Guardian Nigeria News - Nigeria and World News, 10 novembre 2023 (consulté le 10 novembre 2023).

Voir aussi modifier

Articles connexes modifier

[1] Lieu d'enregistrement : fédération de Russie (105318, Moscou, ul. Ibragimova, 31) ; numéro d'identification fiscale : 7719751930 ;

[ConseilUEdecisionJuin2023-2] {a et b} « Décision (PESC) 2023/1218 du Conseil du 23 juin 2023 modifiant la décision 2014/145/PESC concernant des mesures restrictives eu égard aux actions compromettant ou menaçant l’intégrité territoriale, la souveraineté et l’indépendance de l’Ukraine », sur EUR-Lex.

[3] « Vulkan, concepteur d'armes numériques pour les services russes, sanctionné par l'Union européenne », sur Le Monde.fr, 23 juin 2023 (consulté le 10 novembre 2023).

[Washpost2023-4] {a b c et d} (en) « Secret trove offers rare look into Russian cyberwar ambitions », sur Washington Post, 30 mars 2023 (consulté le 10 novembre 2023).

[EuractivMars2023-5] {a b et c} (en-GB) Alina Clasen, « Vulkan Files reveal Russia’s cyberwarfare strategy », sur euractiv.com, 31 mars 2023 (consulté le 10 novembre 2023).

[6] (de) DER SPIEGEL, Hamburg, Germany, « »Vulkan Files« - DER SPIEGEL », sur spiegel.de (consulté le 10 novembre 2023).

[ReddiWA2023-7] {a b c et d} Folivao, « Dans les coulisses de Vulkan, la cyberarmurerie des services russes », sur r/france, 31 mars 2023 (consulté le 10 novembre 2023).

[8] Unité notamment mentionnée mentionné dans le livre Spy 001 - Code Vektor, écrit par le journaliste français Jean-Marc Manach, qui retrace l'histoire des cyberattaques du GRU, et met en lumière le rôle de l'unité 74455 dans ces attaques.

[9] (en-GB) Alina Clasen, « Vulkan Files reveal Russia’s cyberwarfare strategy », sur euractiv.com, 31 mars 2023 (consulté le 10 novembre 2023).

[10] « «Vulkan Files»: comment Poutine mène sa cyberguerre », sur watson.ch, 31 mars 2023 (consulté le 10 novembre 2023).

[Appel_à_réglementer_Guardian_2023-11] {a b et c} (en-US) Jimisayo Opanuga, « France, UK seek greater regulation of commercial spyware », sur The Guardian Nigeria News - Nigeria and World News, 10 novembre 2023 (consulté le 10 novembre 2023).

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]