Mitto AG est une entreprise fondée en 2013, basée à Zug en Suisse. Son activité principale est l’envoi automatisé de textos, pour les promotions commerciales de ses clients, les rappels de rendez-vous ou les envois de codes de sécurité parfois nécessaires pour se connecter à un compte Google ou Twitter.
Zug est le principal paradis fiscal helvétique. La plupart des 250 employés de Mitto travaillent en Allemagne et en Serbie.
Elle a établi des partenariats avec les opérateurs télécoms d’une centaine de pays, ce qui lui permet d’envoyer des textos à des milliards de personnes, y compris dans des pays difficiles d’accès pour les compagnies occidentales, tels que l’Afghanistan ou l’Iran.
Elle compte de nombreux clients dans les domaines de la technologie : Alibaba, Google, LinkedIn, Microsoft, Telegram, Tencent, TikTok, Twitter et WhatsApp notamment.
Mitto se vante d’être considérée comme la fournisseuse de services de textos « la plus sûre », et d’offrir ces services « sans aucune menace ou aucun risque ».
D’après une enquête de Bloomberg, en collaboration avec The Bureau of Investigative Journalism (Bureau du journalisme d’enquête, basé à Londres), s’appuyant sur des affirmations d’anciens employés et de spécialistes de la cybersécurité, son fondateur et directeur opérationnel, Ilja Gorelik, vendait un accès au réseau de Mitto afin de localiser secrètement, et donc illégalement, des personnes à l’aide de leur téléphone portable.
À des entreprises de technologies qui jouent le rôle d’intermédiaire avec des agences gouvernementales, comme TRG Research, basée à Chypre.
Mitto n’a pas informé ses clients de cette activité clandestine.
L’entreprise affirme qu’elle n’est pas au courant de cette affaire, qu’elle est choquée des allégations, et qu’elle ne vend pas d’accès à son réseau à des fins de surveillance de masse.
TRG Research nie en bloc toutes les allégations contre elle.
D’après les témoins de Bloomberg, des employés ont aidé Gorelik à installer des logiciels afin de géolocaliser des téléphones, voire de fournir des listes d’appels.
Ces derniers exploitent des vulnérabilités de sécurité de Signaling System 7 (SS7), un protocole de télécommunication datant des années soixante-dix, qui est toujours exploité, alors que les opérateurs connaissent ses faiblesses et qu’il existe d’autres protocoles plus fiables, pour minimiser les coûts.
Il y aurait des preuves qu’un officiel de premier plan du ministère des affaires étrangères américaines aurait été espionné avec le soutien du système de Mitto.
Les enquêteurs auraient eu accès à des documents confidentiels et des courriels internes à Mitto.
Gorelik se serait même vanté à certains employés de ses relations avec une agence de renseignement du Moyen Orient.
D’après des analystes, certaines tentatives d’espionnage de Mitto, aux Etats-Unis et en Asie notamment, auraient été détectées par des systèmes de cybersécurité et bloqués.
À partir de 2018, Gorelik aurait utilisé l’alias Ingo Gross pour ses communications avec les employés de Mitto, et aurait surveillé ses collègues, connaissant même les sites web qu’ils visitaient, grâce à l’installation de logiciels malveillants sur leurs ordinateurs. Ce qui est bien sûr illégal en Allemagne.
Confronté par certains employés, Gorelik aurait justifié le déploiement de logiciels espions par la crainte de fuite d’informations propriétaires.