🔍 Contexte
Publié le 25 juin 2026 par le Citizen Lab (Université de Toronto), ce rapport présente une analyse forensique détaillée de l’utilisation de l’outil Cellebrite UFED par les autorités russes contre l’activiste politique Andrey Pivovarov, ancien directeur de l’ONG Open Russia.
📱 Incident principal
Le 31 mai 2021, Pivovarov est arrêté à l’aéroport de Saint-Pétersbourg. Ses appareils (iPhone 12 et MacBook) sont confisqués. L’analyse forensique révèle avec haute confiance que Cellebrite UFED a été utilisé le 17 juin 2021 pour extraire les données de son iPhone, via une connexion USB identifiée par un Host ID Cellebrite (9016926980658937761372207).
📄 Confirmation officielle
Un document officiel russe — le rapport d’expert forensique “ЗАКЛЮЧЕНИЕ ЭКСПЕРТА Nº 1269-17” — commandé par le Centre d’expertise forensique du Ministère de l’Intérieur russe (MVD) confirme explicitement l’utilisation de UFED Physical Analyzer et UFED 4PC. Les données extraites incluaient des communications provenant de WhatsApp, Telegram et Viber, ainsi que des recherches ciblées sur des termes politiques et des figures de l’opposition (Mikhail Khodorkovsky, Anastasiya Burakova, Tatiana Usmanova).
💻 MacBook non compromis
Les autorités ont échoué à accéder au MacBook de Pivovarov en raison du chiffrement complet du disque. L’analyse forensique confirme des tentatives de connexion infructueuses le 17 juin 2021.
🔗 Liens avec COLDRIVER
Le rapport établit un lien potentiel entre l’extraction Cellebrite et une campagne de hacking ultérieure menée par COLDRIVER (groupe lié au FSB russe), qui a ciblé plusieurs individus présents dans le graphe social de Pivovarov, dont Anastasiya Burakova.
🌍 Historique d’abus documentés
Cellebrite a vendu ses outils à de nombreux régimes répressifs (Russie, Biélorussie, Chine, Serbie, Kenya, Jordanie, Myanmar, etc.). Des abus forensiquement confirmés ont été documentés dans plusieurs pays. Malgré l’annulation de son contrat russe en mars 2021, les outils Cellebrite ont continué à être utilisés par les autorités russes grâce au mode hors ligne et à l’absence de désactivation à distance effective.
📌 Nature de l’article
Il s’agit d’une publication de recherche forensique du Citizen Lab, visant à documenter l’abus d’outils d’extraction légale à des fins de répression politique et à interpeller Cellebrite sur ses responsabilités en matière de droits humains.
🧠 TTPs et IOCs détectés
Acteurs de menace
- COLDRIVER (state-sponsored) — orkl.eu · Malpedia · MITRE ATT&CK
TTP
- T1005 — Data from Local System (Collection)
- T1552.001 — Credentials In Files (Credential Access)
- T1119 — Automated Collection (Collection)
- T1213 — Data from Information Repositories (Collection)
Malware / Outils
- Cellebrite UFED (tool)
- Cellebrite UFED Physical Analyzer (tool)
- Cellebrite UFED 4PC (tool)
🟡 Indice de vérification factuelle : 45/100 (moyenne)
- ⬜ citizenlab.ca — source non référencée (0pts)
- ✅ 32320 chars — texte complet (fulltext extrait) (15pts)
- ⬜ aucun IOC extrait (0pts)
- ⬜ pas d’IOC à vérifier (0pts)
- ✅ 4 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ✅ acteur(s) identifié(s) : COLDRIVER (5pts)
- ⬜ pas de CVE à vérifier (0pts)
🔗 Source originale : https://citizenlab.ca/research/russia-breaks-into-human-rights-activists-phone-with-cellebrite/