Créateur de logiciels espions NSO Le groupe a utilisé des données de localisation de téléphone réelles sur des milliers de personnes sans méfiance lorsqu’il a démontré son nouveau système de recherche des contacts COVID-19 aux gouvernements et aux journalistes, ont conclu les chercheurs.

NSO, une société de renseignement privée mieux connue pour développer et vendre l’accès des gouvernements à son logiciel espion Pegasus, a lancé une offensive de charme plus tôt cette année pour lancer son système de traçage des contacts, baptisé Fleming, visant à aider les gouvernements à suivre la propagation du COVID-19. Fleming est conçu pour permettre aux gouvernements d’alimenter les données de localisation des sociétés de téléphonie mobile pour visualiser et suivre la propagation du virus. NSO a donné à plusieurs organes de presse chacun une démo de Fleming, qui, selon NSO, aide les gouvernements à prendre des décisions en matière de santé publique «sans compromettre la vie privée des individus».

Mais en mai, un chercheur en sécurité a déclaré à TechCrunch qu’il avait trouvé une base de données exposée stockant des milliers de points de données de localisation utilisés par NSO pour démontrer le fonctionnement de Fleming – la même démo vue par les journalistes des semaines plus tôt.

TechCrunch a signalé le manque de sécurité apparent à NSO, qui a rapidement sécurisé la base de données, mais a déclaré que les données de localisation n’étaient «pas basées sur des données réelles et authentiques».

L’affirmation de NSO selon laquelle les données de localisation n’étaient pas réelles différait des rapports publiés dans les médias israéliens, selon lesquels NSO avait utilisé des données de localisation de téléphone obtenues auprès de plates-formes publicitaires, connues sous le nom de courtiers en données, pour «former» le système. Tehilla Shwartz Altshuler, universitaire et spécialiste de la protection de la vie privée, qui a également reçu une démo de Fleming, a déclaré que NSO lui avait dit que les données avaient été obtenues auprès de courtiers en données, qui vendent l’accès à de vastes trésors de données de localisation globales collectées à partir des applications installées sur des millions de téléphones.

TechCrunch a demandé aux chercheurs de Forensic Architecture, une unité universitaire à Goldsmiths, Université de Londres, qui étudie et examine les violations des droits de l’homme, pour enquêter. Les chercheurs ont publié leurs résultats mercredi, concluant que les données exposées étaient probablement basées sur des données de localisation de téléphone réel.

Le…