Gemalto : un piratage pas si énormi-SIM ?
Gemalto confirme avoir été victime d’attaques informatiques en 2010-2011, mais réfute toute vol massif de clés de chiffrement liées à ses cartes SIM.
L’heure du mea culpa est venue pour Gemalto.
Accusé de s’être fait pirater des clés de chiffrement associées à des millions de cartes SIM, le fabricant de puces électroniques a mené une enquête interne et en a livré les conclusions ce matin à Paris, au Pavillon Gabriel.
Le scandale avait éclaté la semaine passée : des documents révélés par le lanceur d’alertes Edward Snowden faisaient état d’attaques informatiques menées par les agences de renseignement américaine (NSA) et britannique (GCHQ) contre Gemalto.
Le services secrets auraient espionné les communications privées (e-mails et comptes Facebook) de plusieurs « cibles d’intérêt » au sein de l’entreprise. Ils auraient visé, en parallèle, des salariés d’opérateurs télécoms non identifiés. La jonction entre les deux aurait permis d’obtenir des clés de chiffrement… donnant ensuite accès aux informations transitant par les réseaux mobiles.
Olivier Piu ne dément ces premières révélations. Le directeur général de Gemalto reconnaît que « des attaques ont effectivement été menées en 2010 et 2011« . Ce qui montre que « l’opération citée dans les documents est probable ».
Vice-président chargé des opérations et de la sécurité, Patrick Lacruche est revenu plus en détail sur le mode opératoire. La première attaque a été perpétrée en juin 2010. Elle a visé la branche Office, c’est-à-dire le réseau bureautique, en contact avec l’extérieur.
Un second incident en juillet 2010 a concerné l’envoi, aux opérateurs, de faux e-mails avec des adresses Gemalto. Le piège se trouvait dans un fichier joint qui contenait du code malveillant. « En parallèle, plusieurs tentatives d’intrusion ont été constatées« , ajoute Patrick Lacruche.
Olivier Piu précise que la seconde attaque était très sévère. « Nous nous sommes rendu compte que ce n’était pas un hacker de base qui était derrière. Il fallait des ressources« . Les commanditaires de l’opération n’avaient pas pour autant été identifiés. Du moins jusqu’aux révélations de la semaine passée. Tout au plus Gemalto assure-t-il que les pirates « ont utilisé un système de surveillance automatisée et non un ciblage humain« .
Si les attaques sont confirmées, leur ampleur ne l’est pas. D’après Patrick Lacruche, « les seules clés interceptées l’ont été dans des cas exceptionnels, sur des cas de maintenance, d’urgence ou de test avec des opérateurs dont les échanges n’intégraient pas des processus hautement sécurisés que [Gemalto avait] mis en place bien avant 2010« .
Comme le note toutefois Silicon.fr, la communication de crise a ses limites : aucune information sur le nombre exact de clés volées et sur les clients touchés.
Pour rassurer sa clientèle, Gemalto assure que les clés interceptées ne sont exploitables que sur le réseau 2G. « Et les opérateurs connaissent depuis longtemps la faiblesse de cette technologie« , selon Serge Barbe.
Le vice-président chargé des produits et services poursuit : « A l’époque, nous avons proposé aux opérateurs d’intégrer des mesures de sécurité supplémentaire« . On peut néanmoins s’interroger sur les risques concernant les réseaux M2M, qui embarquent souvent des cartes SIM 2G et utilisent encore le réseau 2G des opérateurs mobiles.
A défaut de s’exprimer sur ce point, Gemalto écarte l’idée que les cartes 3G et 4G puissent avoir été impactées. « Elles bénéficient d’un système de sécurisation différent et sont dotées d’une protection par chiffrement additionnelles« .
A l’égard des commanditaires supposés du piratage (la NSA et le GCHQ, en l’occurrence), Olivier Piu se dit « préoccupé que des autorités d’Etat aient pu lancer de telles opérations contre des sociétés privées non coupables d’agissements suspects« .
Interrogé sur l’absence de réaction des officiels français, le dirigeant botte en touche, mais lance une petite pique : « Les Américains et les Anglais sont déjà au 21e siècle sur les questions cyber. En France, il y a une faiblesse, avec peu d’outils juridiques« .
C’est pour cela qu’il ne compte pas lancer une action judiciaire contre les agences de renseignement britannique et américaine. « Les faits sont difficiles à prouver au sens juridique et attaquer un Etat est coûteux, long et assez aléatoire. La conclusion est que, non, on ne va pas prendre d’action juridique« . Il ajoute même : « Ce serait une perte de temps« .
Crédit photo : Jacques Cheminat – Silicon.fr