Reuters indique que l’armée américaine, ainsi que le CDC (agence de santé américaine), l’entreprise Unilever et d’autres organisations internationales, dont l’UEFA, la NRA ou encore le parti travailliste britannique, ont toutes utilisé ou utilisent encore les services de Pushwoosh. Ce qui n’est pas étonnant, quand on pense que cette entreprise qui fournit plusieurs services aux apps mobiles et en premier lieu de quoi envoyer des notifications push, revendique 100 000 clients dans le monde et 1,5 milliard de push envoyés chaque jour.
Le problème, c’est que Pushwoosh n’est pas un service aussi américain que ses concepteurs aimeraient le laisser entendre. Contacté par Reuters, le CDC a indiqué qu’il pensait avoir affaire à un partenaire situé dans l’État de Washington. Pendant son enquête, le site a trouvé plusieurs indications contradictoires sur l’origine de l’entreprise, mais toutes aux États-Unis, dont la Californie et le Maryland.
Le siège social a longtemps été associé à la maison d’un ami russe du CEO qui n’était pas au courant de l’utilisation de son adresse postale à cette fin, d’après les journalistes. Le site officiel de Pushwoosh est par ailleurs assez mystérieux sur la question, y compris sur sa page à propos et même dans ses conditions d’utilisation et mentions légales. Est-ce pour autant une entreprise russe ?
Son CEO, russe également, s’en défend dans une réponse publiée sur le blog officiel. Le service serait opéré par Pushwoosh Inc, une entreprise enregistrée dans l’État du Delaware, aux États-Unis. Ses serveurs seraient tous répartis sur deux data-center, l’un à Washington DC et l’autre en Allemagne, et aucune donnée ne serait stockée en Russie. La firme a bien sous-traité pendant des années avec une entreprise russe située à Novosibirsk, comme le site d’actualité le mentionnait, mais cet accord serait terminé depuis février 2022 d’après le CEO.
Max Konev assure aussi que les nombreuses données collectées par Pushwoosh ne sont jamais sorties d’Allemagne et des États-Unis où elles sont stockées et qu’aucun gouvernement n’a demandé à accéder à ses données. Ce qui n’est pas une garantie que cela ne pourrait jamais arriver et des spécialistes interrogés par Reuters notent que le stockage à l’extérieur de la Russie ne suffirait pas à empêcher leur récupération par le gouvernement russe. En revanche, les journalistes n’ont trouvé aucune preuve de mauvaise utilisation des données, ni de liens avec le gouvernement de Poutine.
Les entreprises et surtout les organismes gouvernementaux américains n’ont pas d’autres choix que d’éviter tout lien avec la Russie, surtout depuis la guerre en Ukraine qui a exacerbé les tensions avec les États-Unis. Même si Pushwoosh est techniquement une entreprise américaine, ses liens avec la Russie suffiraient à l’empêcher de faire affaire avec des acteurs aux États-Unis.
D’autant plus que les données collectées peuvent être sensibles : dans le cas de l’armée américaine, par exemple, Pushwoosh a été utilisée dans une app à destination des troupes en entrainement avant leur déploiement. Rien que les variations du nombre d’utilisateurs d’une telle app pourrait indiquer une préparation militaire, une information que le gouvernement russe aimerait sans aucun doute avoir.