Gemalto est le plus grand fabricant de cartes SIM sur le marché, mais peu de gens connaissaient le nom jusqu’à la semaine dernière, lorsque des plaintes ont été déposées selon lesquelles la protection des produits de la société avait été escroquée par l’Agence de sécurité nationale (NSA) américaine à des fins d’espionnage. Dans une déclaration publiée lundi (23), la société a été catégorique : les puces sont sûres.
Dès que le sujet a été abordé, Gemalto a fait état de l’ouverture d’une procédure d’enquête. Sur la base de documents divulgués par Edward Snowden, les allégations indiquent que la NSA a agi en collaboration avec le siège des communications du gouvernement britannique (GCHQ) pour saisir des millions de clés de cryptage de cartes SIM produites par la société.
En possession de ces informations, la NSA peut intercepter les appels, les messages et les données de l’accès à Internet sans que l’utilisateur espionné ne s’en aperçoive. La portée est mondiale : comme Gemalto est le plus grand fabricant de cartes SIM, il compte parmi ses clients des opérateurs de différentes régions du monde (dont les quatre plus grands de la France).
Selon les documents divulgués, les moyens de communication avec les sociétés de télécommunications auraient facilité les interventions de la NSA et du GCHQ : les clés cryptographiques des cartes sont généralement envoyées aux opérateurs par courrier électronique ou par FTP, services qui ne sont pas les plus sûrs pour ce type d’informations.
Dans le communiqué, Gemalto déclare que les résultats préliminaires de l’enquête indiquent que les cartes SIM, ainsi que les puces d’entreprise utilisées dans les cartes de crédit et les passeports par exemple, ne présentent aucun problème de sécurité.
Cependant, la note semble avoir été faite dans l’urgence pour calmer les investisseurs inquiets des répercussions des plaintes. Gemalto a même déclaré qu’elle ne s’attendait pas à ce que l’affaire entraîne une “perte financière significative”. D’autre part, la société n’a pas nié – ni confirmé – que l’interception des clés a été faite ou est possible.
Mais ce n’est pas la déclaration définitive. Gemalto promet de divulguer les détails de l’enquête mercredi matin prochain (25) lors d’une conférence de presse qui se tiendra à Paris.
