L’Agence de sécurité nationale (NSA) des États-Unis et le Government Communications Headquarters (GCHQ) du Royaume-Uni se sont réunis en avril 2010 pour briser le cryptage des communications par téléphone portable dans le monde entier. Les agences ont espionné Gemalto, un fabricant franco-néerlandais qui produit plus de 2 milliards de cartes SIM par an. L’information est tirée de The Intercept, basée sur des documents confidentiels fournis par Edward Snowden.
Les cartes SIM sont fabriquées avec une clé de cryptage unique (Ki), utilisée chaque fois que vous passez un appel, envoyez un SMS ou accédez à Internet. Votre smartphone contacte la tour de téléphonie mobile, vérifie si le Ki frappe celui de l’opérateur et initie ensuite une communication sécurisée. Le problème est qu’en utilisant une fausse tour et en possession d’une liste de clés, vous pouvez espionner les appels sans que l’utilisateur ne s’en aperçoive.
Selon cette publication, la NSA et le GCHQ ont volé des millions de clés de cryptage de cartes SIM. Le nombre exact n’a pas été communiqué, mais les documents révèlent qu’en 2009, la NSA avait la capacité de traiter entre 12 et 22 millions de clés par seconde.
Comment ont-ils réussi à voler ces clés ? La distribution des Kis ne semble pas aussi sûre : les fabricants de cartes SIM les envoient généralement aux opérateurs par courrier électronique ou par serveur FTP. En seulement deux semaines, entre 2009 et 2010, le GCHQ a accédé à 130 courriels de personnes connectées aux opérateurs et aux fabricants de cartes SIM, générant une liste de 8 000 clés provenant de 10 pays. En mars 2010, il a été possible de récupérer près de 100 000 clés en Somalie.
A Reuters, Gemalto s’est exprimé vendredi (20) sur l’affaire, déclarant qu’il prenait la nouvelle au sérieux et qu’il enquêtait sur le problème. L’entreprise compte plus de 450 opérateurs comme clients, dont les quatre principaux en France. En plus de produire des cartes SIM, la société fabrique des puces EMV pour les cartes de crédit et de débit ? même si vous jetez un coup d’œil au dos de votre carte, vous trouverez probablement la marque Gemalto dans un coin.
