Actualité web & High tech sur Usine Digitale

Gemalto minimise l'impact du piratage de la NSA... et affirme ne pas être la seule victime

mis à jour le 26 février 2015 à 10H20
Twitter Facebook Linkedin Google + Email
×

Selon les conclusions de son enquête, Gemalto n’est pas la seule victime de l’attaque menée par les agences de cyber espionnage américaine et britannique. D’autres fournisseurs de cartes SIM sont également touchés. Mais le groupe d’Olivier Piou minimise la portée et l’impact de l’opération.

Gemalto minimise l'impact du piratage de la NSA... et affirme ne pas être la seule victime
Gemalto minimise l'impact du piratage de la NSA... et affirme ne pas être la seule victime © Pixabay

On le soupçonnait. C’est maintenant confirmé par les conclusions de l’enquête de Gemalto présentée à la presse internationale ce 25 février 2015 à Paris.

Le numéro un mondial de la carte à puce n’est pas la seule victime des opérations de piratage de cartes SIM menées par l’agence américaine de sécurité nationale (NSA) et le quartier général des communications du gouvernement britannique (GCHQ). "Nous en avons été la première cible en raison de notre position de leader du marché, confie Olivier Piou, directeur général de Gemalto. Mais d’autres fournisseurs de cartes SIM sont également touchés."

Le système de surveillance du réseau de Gemalto avait détecté deux attaques sophistiquées en juin 2010 et juillet 2011 "qui proviennent probablement de la NSA et du GCHQ", selon Patrick Lacruche, directeur de la sécurité du groupe. "Nous en avions informé les clients concernés et les autorités de tutelles compétentes, comme l’Anssi, l’agence nationale de cyberdéfence, en France", affirme Olivier Piou. Ces attaques interviennent dans un contexte international tendu marqué par un pic de la guerre en Afghanistan. Elles visent à surveiller les communications téléphoniques de douze opérateurs dans neuf pays sensibles dont l’Afghanistan, le Yemen, l’Iran, la Somalie, le Pakistan et le Tadjikistan. "Nous n’avons pas fourni de cartes SIM à quatre de ces opérateurs, relève Olivier Piou. Nous ne sommes pas présents en Somalie, par exemple."

2% des clés de cryptage proviennent des fournisseurs de cartes SIM

La patron de Gemalto se garde bien de citer les autres fournisseurs de cartes SIM touchés. Mais il y a de fortes chances qu’il s’agisse des français Oberthur Technologies et Morpho, et de l’allemand Giesecke & Devient. Pour l’heure, ils se font très discrets. Selon le cabinet ABI Research, les quatre acteurs européens détiennent 75% du marché mondial des cartes SIM.

Gemalto minimise toutefois la portée de l’attaque. "Seul dans des cas exceptionnels d'échanges de fichiers avec les opérateurs mobiles, le piratage s’est concrétisé par un vol de clé de cryptage, affirme Olivier Piou. Et encore, la clé n’est fonctionnelle que pendant un temps limité, environ 3 mois." Selon le groupe, seulement 2% des clés de cryptage proviennent des fournisseurs de cartes SIM, les 98% restant étant fabriqués par les opérateurs mobiles eux-mêmes sur la base de technologies propriétaires.

L’attaque n’aurait atteint que des mobiles 2G, les cartes SIM de mobiles 3G et 4G étant mieux sécurisées et donc moins vulnérables que la génération précédente dont la conception remonte aux années 1980. Enfin, selon Patrick Lacruche, elle s’est arrêtée au réseau préiphérique de communication : "Elle n’a pas touché les couches profondes de notre réseau, et donc pas nos propres produits comme les cartes bancaires ou les documents électroniques d’identité, qui sont stockés dans des parties plus sécurisées du réseau et parfaitement étanches".

Pas d'actions juridiques contre la NSA et le GCHQ

Gemalto est conscient de sa position particulière qui en fait une cible de choix des pirates. "En tant qu’acteur important de la sécurité numérique, nous sommes régulièrement la cible d’attaques plus ou moins sophistiquées, confie Olivier Piou. Nous sommes préparés à y faire face. La plupart échouent mais quelques unes parviennent à entrer dans la première couche de notre réseau." Le groupe affirme se soumettre chaque année à plus de 400 audits de sécurité internes mais aussi de la part de ses clients (banques, opérateurs télécoms, gouvernements...).

Le directeur général n’envisage pas d’actions juridiques à l’encontre de la NSA et du GCHQ, car les conclusions de l’enquête revèlent juste des soupçons sans preuves de leur implication. Il ne demande pas, non plus, le soutien du gouvernement français, Gemalto étant une société de droit hollandais même si, sur les plans historique et opérationnel, elle reste basée en France. Face aux risques financier et commercial que cet incident pourrait entrainer, il affiche sa confiance : "Sur le plan financier, le coût se réduit au temps passé en enquête et communication, et sur le plan commercial, ceci ne va pas entacher notre réputation auprès de nos clients." La confiance règne.

Ridha Loukil

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

media

Les cookies assurent le bon fonctionnement de nos sites et services. En utilisant ces derniers, vous acceptez l'utilisation des cookies.OK

En savoir plus
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale