Gemalto : « L’attaque décrite dans le document de The Intercept a probablement eu lieu »

En fin de semaine dernière, stupeur et tremblement : The Intercept publiait des documents livrés par Edward Snowden, lesquels indiquaient que la NSA et la GCHQ (Government Communication Headquarters), soit les renseignements américains et britanniques, avaient piraté en 2010 et 2011 les clés de chiffrement des cartes SIM fabriquées par Gemalto. La firme basée aux Pays-Bas livre deux milliards de cartes SIM par an auprès de 450 opérateurs un peu partout dans le monde, et autant dire que le leader de son domaine n’avait d’autre choix que de s’exprimer au plus vite sur la situation.

À l’époque, nous n’avons pas pu identifier les auteurs de ces attaques mais maintenant, nous pensons qu’elles pourraient être liées à l’opération du GCHQ et de la NSA.

S’il est bien une information à retenir ce matin, c’est que Gemalto confirme, ou presque, avoir subi le hack décrit par The Intercept : « L’attaque décrite dans le document a probablement eu lieu », indique-t-on au sommet de l’entreprise. Elle explique en effet avoir de son côté décelé des activités anormales en 2010 et 2011, « deux attaques très sophistiquées qui pourraient être reliées à cette opération ». Il est question ici d’une tentative d’espionnage du réseau interne de Gemalto contre laquelle « des mesures ont été prises immédiatement » ainsi qu’une vague d’envoi de faux emails empruntant le nom de domaine Gemalto, mais aussi de tentatives d’intrusions dans les ordinateurs des employés de la firme. Pour chacune de ces menaces, le groupe indique avoir bien résisté. Gemalto se veut rassurant sur sa capacité à sécuriser ses services, et vient contredire certains points soulevés par le rapport fourni par Snowden.

« Une poignée de cas »

Gemalto avance un point essentiel dans son analyse : le hack des clés de chiffrement n’a pu toucher que des cartes SIM 2G, qui ne sont pratiquement plus utilisées à l’heure actuelle. Le fabricant souligne que les algorithmes de sécurisation ont été totalement revus lors du passage des SIM 2G aux cartes 3G/4G, qui équipent désormais massivement les terminaux mobiles. D’après lui, des inexactitudes se glissent en outre dans le rapport publié par The Intercept. Il pointe notamment douze opérateurs cités par le document et auxquels il annonce n’avoir jamais livré de SIM, de même qu’une liste de centres de personnalisation des SIM citée inclut des pays dans lesquels Gemalto indique n’avoir pas été présent à l’époque des faits. Pour finir, « La table 2 indique que les fournisseurs de cartes SIM ne représentent que 2 % des sources de clés d’encryptage (38/1719), et que l’usage de méthodes d’encryptage fortes par les fournisseurs de SIM fait que les autres groupes (98 %) sont nettement plus vulnérables à des tentatives d’interception ». Autant d’éléments avancés par Gemalto pour corroborer l’idée que l’attaque de ses SIM n’a concerné qu’une poignée de personnes.

Gemalto n’exclut pas la possibilité d’être à nouveau attaqué par des agences espionnes, même s’il met en avant les nombreux audits menés chaque année et permettant de renforcer son système. Toutefois, aucune vague de rappel des éventuelles cartes SIM 2G concernées et encore en circulation n’a été commandée par l’entreprise, qui précise que les protocoles d’échanges sécurisés d’aujourd’hui compliqueraient fortement une tentative de hacking.