En début de semaine, Gemalto a promis de donner mercredi (25) une position détaillant les résultats de l’enquête sur les attaques qui auraient menacé la sécurité de ses cartes SIM – la société est le plus grand fabricant de ces puces. C’est ce qui a été fait : la société a reconnu les tentatives d’invasion, mais a diminué la gravité du problème.
Le problème a été mis en lumière la semaine dernière, lorsque des rapports ont été publiés sur la base de documents divulgués par Edward Snowden, selon lesquels l’Agence de sécurité nationale américaine (NSA) avait agi sur le siège des communications du gouvernement britannique (GCHQ) pour saisir des millions de clés cryptographiques de cartes SIM produites par la société.
C’est une situation grave. Grâce à ces informations, il est possible d’intercepter des appels, des messages et des données d’accès à Internet provenant de lignes téléphoniques connexes pratiquement partout dans le monde – les puces Gemalto ont une distribution mondiale.
Sur la base des enquêtes, Gemalto affirme avoir détecté des tentatives d’invasion en 2010 et 2011 qui lui donnent “des motifs raisonnables de croire qu’une opération de la NSA et du GCHQ est susceptible d’avoir eu lieu”.
Ces attaques ont été remarquées à l’époque, mais sans que la société puisse en identifier les auteurs. Ce n’est que maintenant que l’association avec la NSA et le GCHQ a vu le jour. En tout état de cause, Gemalto a pu prendre à temps les mesures nécessaires pour alerter les clients et les autorités.
En conséquence, les invasions ont été limitées aux réseaux de bureaux de l’entreprise, qui ne donnent pas accès à la base de clés de cryptage de la carte SIM. Ces données sont envoyées aux opérateurs depuis 2010 via un système de transfert sécurisé qui, selon Gemalto, n’a pas été violé.
Malgré cela, des clés peuvent avoir été interceptées, bien qu’à petite échelle. L’entreprise explique qu’en 2010, les méthodes de transmission sécurisée n’étaient pas encore utilisées par tous ses clients, et que si des fuites se sont produites, c’est en raison de cette “négligence”.
Les documents fournis par Snowden font état de tentatives d’attaques contre les cartes SIM des opérateurs dans des pays comme l’Afghanistan, l’Inde et le Pakistan. Beaucoup de ces tentatives ont échoué précisément à cause du système assurance, souligne Gemalto.
L’entreprise explique également qu’en fin de compte, seuls 2 % des opérations d’échange de clés (38 sur 1719) répertoriées comme vulnérables dans les documents ayant fait l’objet d’une fuite provenaient de fournisseurs de cartes SIM.
Enfin, la société souligne que même si un grand nombre de clés avaient été interceptées, seules celles liées aux réseaux 2G présenteraient un risque important pour l’utilisateur. Les puces 3G et 4G, étant plus récentes, ont des caractéristiques de sécurité qui les protègent de ce type d’attaque.
Bien sûr, il est difficile de savoir si Gemalto a été franc à tous égards, mais les explications semblent avoir convaincu le marché : les actions de la société ont chuté ces derniers jours, mais aujourd’hui, elles montrent déjà des signes de reprise.
