Bien que Gemalto se défende dans son communiqué de vouloir « confirmer partiellement ou entièrement » les informations délivrées par The Intercept, la firme précise formellement quelques points suite à l’audit interne effectué depuis près d’une semaine.
– « L’analyse de la méthode décrite dans les documents et les tentatives d’intrusion sophistiquées détectées par Gemalto en 2010 et 2011 » permette de confirmer un piratage « probable ».
La firme confirme ainsi avoir détecté « deux attaques particulièrement sophistiquées » entre 2010 et 2011 qui pourraient être attribuées à la NSA et au GCHQ : tentative d’espionnage du réseau « office », c’est-à-dire « le réseau de communication des employés entre eux et avec le monde extérieur », envois de faux emails, « tentatives d’accès aux ordinateurs de collaborateurs de Gemalto » en contact régulier avec les clients.
À l’époque, nous n’avons pas pu identifier les auteurs de ces attaques mais maintenant nous pensons qu’elles pourraient être liées à l’opération du GCHQ et de la NSA.
– Ces différentes attaques détectées ciblaient ses « réseaux bureautiques », ce qui permet à Gemalto de conclure qu’il n’y a pas eu de « vol massif de clés d’encryptage de cartes SIM ».
Ces intrusions n’ont affecté que des parties externes des réseaux de Gemalto, c’est-à-dire les réseaux bureautiques qui sont en contact avec le monde extérieur. Les clés de cryptage et plus généralement les données client ne sont pas stockées sur ces réseaux.
– Gemalto réduit encore la portée du piratage en précisant que contrairement à ce qui est précisé dans les documents confidentiels de la NSA et du GCHQ obtenus par The Intercept, la firme « n’a jamais vendu de cartes SIM à quatre des douze opérateurs cités […] en particulier l’opérateur somalien auquel 300 000 clés d’authentification auraient été volées. »
Par ailleurs, les précautions prises par la firme avant 2010 (« généralisation des processus d’échanges hautement sécurisés ») lui font dire que les vols ne concernant que « quelques cas exceptionnels », d’autant que les données volées ne sont « exploitables » que sur des réseaux 2G réduisant encore la portée du vol.
– À cette époque (2010-2011), le réseau 2G était encore la norme chez les opérateurs des pays cibles (Afghanistan, Yémen, Inde, Serbie, Iran, Islande, Somalie, Pakistan et Tadjikistan). La sécurité de cette technologie était déjà faible mais fut renforcée par l’arrivée des cartes 3G et 4G avec une « protection par cryptage additionnelle ».
Gemalto ne considère donc pas nécessaire de rappeler les cartes SIM fabriquées par ses soins, contrairement à ce que préconisait Edward Snowden au cours d’une session de question-réponse (Ask Me Anything) sur Reddit mardi 24 février.
[La NSA et le GCHQ] n’ont pas seulement entubé Gemalto, ils nous ont tous entubés, parce que la seule manière de combler cette faille de sécurité est de faire un rappel et de remplacer toutes les cartes SIM fabriquées par Gemalto.
Gemalto préfère préciser que les documents confidentiels « indiquent que les fournisseurs de cartes SIM ne représentent que 2 % des sources de clés d’encryptage ».
Pour rappel, vendredi 20 février The Intercept révélait, documents à l’appui, qu’entre 2010 et 2011, la NSA et le GCHQ avaient réussi à subtiliser des clés de chiffrement de carte SIM Gemalto en piratant leurs réseaux internes.
Leur butin leurs permettait ainsi d’espionner en toute quiétude les téléphones portables dotés d’une carte SIM dont ils détenaient la clé de chiffrement et déchiffrer n’importe quelle communication passée à partir du terminal. Gemalto étant le leader mondial dans la fabrication de ces cartes pour mobiles, le vol pouvait s’avérer massif.
Ces révélations n’ont pas déclenché de polémique particulière de la part des différents gouvernements, plus enclins ces derniers temps à requérir une collaboration étroite de la part des géants du web au nom de la sécurité nationale qu’à chercher des poux aux agences de renseignement concernant leurs activités.
Gemalto, dans une adresse à peine voilée à ces derniers, s’est tout de même dite « préoccupée par le fait que des autorités d’État aient pu lancer de telles opérations contre des sociétés privées non coupables d’agissements suspects ».
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.