Gemalto minimise l'attaque de la NSA et avoue son impuissance

Thomas Pontiroli
Publié le 25 février 2015 à 15h02
Quand l'un des leaders mondiaux des cartes SIM (et de leur sécurisation), se fait attaquer par la NSA et son homologue britannique, la GCHQ, l'opinion publique s'émeut. La société tente d'éteindre le feu.

Gemalto reconnaît s'être fait pirater par l'Agence de sécurité américaine (NSA) et le Quartier général des communications du gouvernement britannique (GCHQ) entre 2010 et 2011. Au terme de son enquête, présentée à la presse mercredi 25 février, le fournisseur franco-hollandais de cartes SIM a cependant tenu à minimiser la portée de ces intrusions, en écartant l'hypothèse d'un vol massif de clés de chiffrement.


0230000007921973-photo-carte-sim.jpg
Seule une partie des cartes SIM 2G ont pu donner lieu à écoute, selon Gemalto - Crédit : Fotolia.


Ce sont elles qui étaient au centre de l'attaque des deux agences de surveillance. Le 20 février, le site The Intercept, se basant sur des documents d'Edward Snowden, affirmait qu'une quantité industrielle de ces clés avait été dérobée, rendant possible l'écoute des communications des clients de 450 opérateurs mobiles.

Mais d'après les conclusions de l'enquête, « la technique utilisée étant d'intercepter les clés lors de l'échange entre l'opérateur télécom et ses fournisseurs, et Gemalto ayant avant 2010 déjà largement déployé un système d'échange sécurisé avec ses clients, seuls quelques cas exceptionnels ont pu aboutir à un vol ».

Seule une partie du réseau 2G serait affectée

Dans le cas où des données ont pu être volées, Gemalto les circonscrit au réseau 2G, « élaboré dans les années 1980 » et « déjà considéré comme faible en 2010 et très largement dépassé ». Olivier Piou, le PDG, ne précise pas combien d'opérateurs ont recours aux SIM 2G - le plus souvent, « pour des raisons de coût ».

Gemalto explique que « si les clés de chiffrement de cartes SIM 2G étaient interceptées par les services de renseignement, il leur était techniquement possible d'espionner des communications lorsque la carte était utilisée dans le téléphone mobile de l'abonné. C'est une faiblesse connue de l'ancienne technologie 2G et pendant longtemps, nous avons recommandé aux opérateurs le déploiement de mécanismes sécuritaires supplémentaires ». Gemalto avance deux autres arguments pour minimiser la portée de ce piratage.

D'abord, la capacité à intercepter les appels aurait été limitée dans le temps, « car la plupart des cartes SIM 2G en service à l'époque dans les pays ciblés étaient des cartes prépayées avec un cycle de vie très court, entre 3 et 6 mois ». Enfin, parce que la faiblesse connue de la 2G « a été éliminée avec l'introduction d'algorithmes propriétaires, utilisés à ce jour comme deuxième niveau de sécurité par les grands opérateurs de réseaux ».


Retour en vidéo sur le Blackphone, le smartphone anti-NSA.


En ce qui concerne les cartes SIM 3G et 4G, Gemalto est formel : ces réseaux « ne sont pas vulnérables à ce type d'attaque », mais concède que « ces produits plus récents ne sont toutefois pas utilisés universellement dans le monde car ils sont un peu plus onéreux, et parfois, pour l'opérateur, le principal critère d'une décision d'achat peut être le prix ». Gemalto ne sait pas non plus si la NSA mène d'autres opérations en ce moment.

Face à la surveillance d'État, Gemalto est impuissant

Olivier Piou indique que sa société subit bien 400 audits par an, que ce soit des opérateurs, du gouvernement et des instances de standardisation, notamment de la GSM Association, représentative de 850 opérateurs de téléphonie mobile dans 218 pays. Mais rappelle que « la sécurité numérique n'est pas statique » et que « les technologies de pointe perdent de leur efficacité avec le temps ». Et si Gemalto se met à jour, la NSA aussi.

Le responsable du fournisseur de SIM soutient faire de son mieux pour sécuriser les 2 milliards de cartes distribuées chaque année à ses clients, mais « ne peut pas jurer qu'il n'y aura pas d'autre piratage » et ajoute que les services de Gemalto bénéficient que d'une « sécurité civile, et pas militaire ». De l'aveu du PDG, Gemalto ne peut pas lutter contre les actions d'agences gouvernementales aux moyens « extraordinaires ».

« Gemalto est bien conscient du fait que les plus éminentes agences d'espionnage, surtout lorsqu'elles font équipe, possèdent des ressources et des appuis juridiques qui dépassent de loin les moyens à la disposition des pirates et autres organisations criminelles ordinaires », écrit l'entreprise dans son rapport d'enquête.

La société, de même que le gouvernement français - qui n'a pas réagi à cette attaque - donnent finalement une impression d'impuissance totale face à une surveillance qui, au gré des révélations d'Edward Snowden, tend à montrer qu'elle n'a aucune limite : câbles sous-marins, disques durs, ordinateurs non connectés à Internet... C'est ainsi qu'après l'enquête, Gemalto se remettra au travail. Et ne portera pas plainte.


A lire également :

Thomas Pontiroli
Par Thomas Pontiroli

Aucun résumé disponible

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles