Le site The Intercept a révélé que les services secrets britanniques (le GCHQ), aidés par les Américains (la NSA) avaient piraté les comptes email et Facebook de salariés de Gemalto, le leader mondial coté au CAC40 de la fabrication de cartes SIM. Ces piratages ont permis aux agents britanniques et américains de mettre la main sur des clés de chiffrement de cartes SIM pour téléphones mobiles.
Voici quelques clés pour comprendre ce piratage de grande ampleur :
- Qu’est-ce qu’une carte SIM ?
La carte SIM se présente sous la forme d’un petit rectangle de plastique comportant une puce électronique. C’est cette puce qui permet à l’opérateur téléphonique de faire le lien entre un appareil téléphonique, un numéro et ses données (appels, SMS…). Historiquement, leur sécurité n’était pas très performante : aux débuts de la téléphonie mobile grand public, les cartes SIM conçues pour fonctionner sur les réseaux 2G utilisaient des protocoles mal protégés, qui ont été remplacés par des protocoles plus performants pour les réseaux 3G et 4G. Mais la sécurité des communications n’a jamais été la « mission » des cartes SIM : leurs utilisateurs, à savoir les opérateurs téléphoniques, cherchaient surtout un outil qui leur permettrait de facturer les communications avec justesse et d’éviter la fraude.
- C’est quoi, une « clé de chiffrement » de carte SIM ?
Cette « clé » est une série de caractères qui permet de confirmer l’identité du téléphone sur le réseau. En résumé, chaque carte SIM dispose de sa propre clé, liée à une autre clé en possession de l’opérateur téléphonique. Lorsque le mobile tente de se connecter sur le réseau, l’opérateur peut vérifier que le téléphone est bien ce qu’il prétend être, et établir une communication chiffrée. Intercepter cette communication n’est pas très difficile, mais déchiffrer le contenu de celle-ci sans la clé est complexe et demande d’importantes ressources informatiques.
- Quel est le rôle de Gemalto dans cette affaire ?
La quasi-totalité des opérateurs téléphoniques ne produisent pas eux-mêmes leurs cartes SIM. Il est beaucoup plus économique de sous-traiter cette fabrication, qui nécessite des usines équipées et un certain savoir-faire, à une entreprise spécialisée. Gemalto, société de droit néerlandais mais dont les équipes internationales sont basées à Paris, et qui est cotée au CAC40, est justement le leader mondial de la fabrication de cartes SIM. La société est spécialisée dans les puces sécurisées, et en conçoit également pour des cartes bancaires ou des passeports. Gemalto est la principale victime du piratage, qui a visé certains de ses employés pour dérober des clés de chiffrement. Les documents publiés par The Intercept montrent que certains de ses concurrents ont également été visés par les services britanniques et américains, dont l’allemand Giesecke.
- Pourquoi la NSA et le GCHQ ont-ils voulu voler ces clés de chiffrement ?
Une fois ces clés en leur possession, les agences de renseignement peuvent mettre en place de manière très discrète des surveillances très poussées. En mettant en place leurs propres antennes de réception mobile, ces agences peuvent alors « piéger » l’utilisateur d’un téléphone, et lire « en clair » ses conversations et messages.
Autre avantage, cette méthode laisse très peu de traces et est difficilement détectable, pour l’utilisateur comme pour l’opérateur. Elle est donc adaptée à des surveillances de masse.
- Peut-on se protéger contre la surveillance de son téléphone si un intrus détient cette clé de chiffrement ?
Oui en utilisant un deuxième système de chiffrement – messagerie sécurisée, par exemple – : l’intrus ne pourra plus espionner les conversations dans cette application.
- Que disent le GCHQ et la NSA ?
Comme d’habitude, les deux agences de renseignement n’ont pas commenté les révélations de The Intercept. La NSA a simplement refusé de répondre aux questions du site, tandis que le GCHQ se bornait à affirmer que ses opérations sont conduites « dans le strict respect de la loi et des procédures », avec des mécanismes de contrôle « assurant qu’elles sont menées de manière autorisée, nécessaire et proportionnée ».
- Quelles sont les réactions politiques ?
La réponse du GCHQ a fait bondir l’eurodéputée néerlandaise Sophie In’t Veld (libérale de gauche), membre de la commission des libertés publiques et très critique des méthodes de surveillance de la NSA. « Si c’est ‘dans le strict cadre de la loi’, on se demande ce qui peut bien être en dehors de la loi », écrivait-elle sur son compte Twitter.
En France, ni l’Elysée, ni aucun des ministères sollicités par Le Monde – ministère des finances, ministère de l’intérieur – n’ont souhaité réagir à ces révélations.
- Que disent les opérateurs téléphoniques ?
Des réunions de crise ont eu lieu, vendredi, chez la plupart des grands opérateurs téléphoniques, afin de tenter de déterminer les implications techniques, commerciales et légales du piratage dont a été victime Gemalto. Les opérateurs attendent surtout les conclusions de l’audit interne qu’a lancé le constructeur.
Deutsche Telekom, qui utilise des cartes SIM Gemalto mais y ajoute un deuxième niveau de chiffrement, a affirmé au New York Times qu’à ce stade il pensait que les conversations de ses clients restaient protégées. Les clés de chiffrement étant gravées « en dur » dans les cartes SIM, et non modifiable à distance, certains opérateurs pourraient demander un rappel massif.
- Y aura-t-il des suites juridiques à cette affaire ?
Gemalto, qui a annoncé vendredi matin avoir lancé un vaste audit interne pour confirmer ou infirmer les révélations de The Intercept et recherche d’éventuelles failles de sécurité, n’a pas annoncé vouloir porter plainte.
En revanche, la Commission européenne pourrait lancer une enquête – Sophie In’t Veld a déposé une question parlementaire en ce sens.
Jan Philip Albrecht, négotiateur en chef pour la future loi du Parlement européen sur la protection des données, et membre comme Mme In’t Veld du parti de gauche D66 (opposition), a également demandé au ministère de l’intérieur néerlandais d’ouvrir une enquête. En droit néerlandais, une intrusion informatique menée par les services d’un autre pays ne peut se faire qu’avec l’accord exprès du ministère de l’intérieur.
Source: Le Monde
__
Posted on fév 22, 2015 @ 12:58
Allain Jules