Gemalto reconnaît s'être fait pirater par l'Agence de sécurité américaine (NSA) et le Quartier général des communications du gouvernement britannique (GCHQ) entre 2010 et 2011. Au terme de son enquête, présentée à la presse mercredi 25 février, le fournisseur franco-hollandais de cartes SIM a cependant tenu à minimiser la portée de ces intrusions, en écartant l'hypothèse d'un vol massif de clés de chiffrement.
Seule une partie des cartes SIM 2G ont pu donner lieu à écoute, selon Gemalto - Crédit : Fotolia.
Ce sont elles qui étaient au centre de l'attaque des deux agences de surveillance. Le 20 février, le site The Intercept, se basant sur des documents d'Edward Snowden, affirmait qu'une quantité industrielle de ces clés avait été dérobée, rendant possible l'écoute des communications des clients de 450 opérateurs mobiles.
Mais d'après les conclusions de l'enquête, « la technique utilisée étant d'intercepter les clés lors de l'échange entre l'opérateur télécom et ses fournisseurs, et Gemalto ayant avant 2010 déjà largement déployé un système d'échange sécurisé avec ses clients, seuls quelques cas exceptionnels ont pu aboutir à un vol ».
Seule une partie du réseau 2G serait affectée
Dans le cas où des données ont pu être volées, Gemalto les circonscrit au réseau 2G, « élaboré dans les années 1980 » et « déjà considéré comme faible en 2010 et très largement dépassé ». Olivier Piou, le PDG, ne précise pas combien d'opérateurs ont recours aux SIM 2G - le plus souvent, « pour des raisons de coût ».Gemalto explique que « si les clés de chiffrement de cartes SIM 2G étaient interceptées par les services de renseignement, il leur était techniquement possible d'espionner des communications lorsque la carte était utilisée dans le téléphone mobile de l'abonné. C'est une faiblesse connue de l'ancienne technologie 2G et pendant longtemps, nous avons recommandé aux opérateurs le déploiement de mécanismes sécuritaires supplémentaires ». Gemalto avance deux autres arguments pour minimiser la portée de ce piratage.
D'abord, la capacité à intercepter les appels aurait été limitée dans le temps, « car la plupart des cartes SIM 2G en service à l'époque dans les pays ciblés étaient des cartes prépayées avec un cycle de vie très court, entre 3 et 6 mois ». Enfin, parce que la faiblesse connue de la 2G « a été éliminée avec l'introduction d'algorithmes propriétaires, utilisés à ce jour comme deuxième niveau de sécurité par les grands opérateurs de réseaux ».
Retour en vidéo sur le Blackphone, le smartphone anti-NSA.
En ce qui concerne les cartes SIM 3G et 4G, Gemalto est formel : ces réseaux « ne sont pas vulnérables à ce type d'attaque », mais concède que « ces produits plus récents ne sont toutefois pas utilisés universellement dans le monde car ils sont un peu plus onéreux, et parfois, pour l'opérateur, le principal critère d'une décision d'achat peut être le prix ». Gemalto ne sait pas non plus si la NSA mène d'autres opérations en ce moment.
Face à la surveillance d'État, Gemalto est impuissant
Olivier Piou indique que sa société subit bien 400 audits par an, que ce soit des opérateurs, du gouvernement et des instances de standardisation, notamment de la GSM Association, représentative de 850 opérateurs de téléphonie mobile dans 218 pays. Mais rappelle que « la sécurité numérique n'est pas statique » et que « les technologies de pointe perdent de leur efficacité avec le temps ». Et si Gemalto se met à jour, la NSA aussi.Le responsable du fournisseur de SIM soutient faire de son mieux pour sécuriser les 2 milliards de cartes distribuées chaque année à ses clients, mais « ne peut pas jurer qu'il n'y aura pas d'autre piratage » et ajoute que les services de Gemalto bénéficient que d'une « sécurité civile, et pas militaire ». De l'aveu du PDG, Gemalto ne peut pas lutter contre les actions d'agences gouvernementales aux moyens « extraordinaires ».
« Gemalto est bien conscient du fait que les plus éminentes agences d'espionnage, surtout lorsqu'elles font équipe, possèdent des ressources et des appuis juridiques qui dépassent de loin les moyens à la disposition des pirates et autres organisations criminelles ordinaires », écrit l'entreprise dans son rapport d'enquête.
La société, de même que le gouvernement français - qui n'a pas réagi à cette attaque - donnent finalement une impression d'impuissance totale face à une surveillance qui, au gré des révélations d'Edward Snowden, tend à montrer qu'elle n'a aucune limite : câbles sous-marins, disques durs, ordinateurs non connectés à Internet... C'est ainsi qu'après l'enquête, Gemalto se remettra au travail. Et ne portera pas plainte.
A lire également :