La société franco hollandaise, Gemalto, leader mondial des cartes SIM, a reconnu ce mercredi matin dans un communiqué avoir été la cible « d’attaques sophistiquées » en 2010, qui « pourraient être liées à l’opération du GCHQ (Government Communications Headquarters) et de la NSA [deux agences des services de renseignement britanniques et américains]. » Les alliés anglo-saxons se seraient rendus coupables d’un vol de grande envergure de clés de cryptage de cartes SIM pour espionner les conversations téléphoniques de millions d’utilisateurs.

Vendredi 20 février, le site d’information The Intercept avait révélé — grâce à des documents fournis par le lanceur d’alerte Edward Snowden — que l’agence nationale de sécurité américaine (NSA) et les services secrets britanniques (via le GCHQ) avaient volé des quantités « sidérantes » de clés de cryptage de cartes SIM à Gemalto. Ce vol aurait permis d’avoir accès aux communications passées sur les téléphones équipés de cartes SIM « piratées » par les deux agences.

Dans son communiqué diffusé ce mercredi, Gemalto, qui avait vu son titre en bourse chuter après les révélations de vendredi, a tenu à minimiser l’impact de l’intrusion de ces services secrets, réfutant l’hypothèse d’ « un vol massif » avancée par The Intercept. L’entreprise, basée à Amsterdam et qui compte plusieurs sites de production en France a précisé que seules les cartes SIM portant la technologie 2G étaient concernées. La plupart des cartes SIM sont désormais équipées de la 3G ou de la 4G.

La société se refuse pourtant à porter l’affaire devant la justice. « Les faits sont difficiles à prouver au sens juridique, et attaquer un État est long et coûteux, » a déclaré ce mercredi Oliver Piou, le directeur général du géant des cartes SIM, tout en déplorant le manque d’outils juridiques en France pour traiter ce type d’affaire.

Cambriolage numérique

The Intercept est un site d’information lancé en février 2014 par Glenn Greenwald, ex-journaliste du quotidien britannique The Guardian et à l’origine du scandale de la NSA révélé grâce aux documents fournis par l’ancien employé de l’agence de renseignement, Edward Snowden.

Réfugié depuis à Moscou, Snowden a fourni de nouvelles informations à Greenwald sur l’implication des services de renseignement britanniques et américains dans une histoire de vol de clés de cryptage de cartes SIM. Cette longue enquête raconte comment la NSA et GCHQ, réunis pour l’occasion au sein d’une unité baptisée MHET (Mobile Handset Exploitation Team), auraient dérobé des millions de clés à Gemalto.

Les deux services de renseignement n’ont pour le moment pas réagit à cette affaire.

Les conversations téléphoniques transitent par des ondes radios, donc théoriquement faciles d’accès. Pour en protéger l’accès, les fabricants de cartes SIM équipent les cartes d’un code permettant de garantir la sécurité des communications. Typiquement, lorsque les services de police veulent placer un individu sur écoute, ils doivent demander ce code à l’opérateur téléphonique — Orange, Verizon ou T-Mobile, tous fournis par Gemalto — afin d’accéder aux conversations téléphoniques et SMS de la personne écoutée.

Par ce cambriolage numérique, la NSA et le GCHQ peuvent donc accéder à des communications « sans que la compagnie de téléphone et les autorités du pays soient au courant, » selon The Intercept. Le site constate aussi qu’avoir ces clés « permet d’éviter de demander un mandat pour mettre quelqu’un sur écoute. »

Pour résumer, cela revient « à voler la clé d’un concierge qui détient chez lui les clés de tous les appartements de l’immeuble, » pour Jeremy Scahill et Josh Begley, les deux journalistes à l’origine de l’article de The Intercept

Piratage de boîtes mails et comptes Facebook

Toujours selon les informations fournies par Edward Snowden — sujet du documentaire oscarisé ce dimanche à Los Angeles, Citizenfour — les services britanniques seraient à l’origine de l’opération. Les clés d’encryptage étaient fournies aux opérateurs par mail ou serveurs FTP (qui permettent de transférer des fichiers par Internet). Le GCHQ aurait espioné les employés chargés de ces envois avant de demander l’aide de la NSA afin de pouvoir se servir du programme X-KEYSCORE.

Ce programme de l’agence de surveillance américaine permet de pirater des boîtes mails et comptes Facebook, ce à quoi se seraient donc employés la NSA et le GCHQ — accédant de fait aux communications privées des ingénieurs et salariés de Gemalto, notamment ceux chargés de l’envoi des clés de cryptages aux opérateurs.

Plusieurs pays ont été ciblés par les deux agences : l’Iran, l’Afghanistan, le Yémen, l’Inde, la Serbie, l’Islande et le Tadjikistan, ainsi que le Pakistan — finalement protégé par des précautions prises par les opérateurs téléphoniques pakistanais.

Gemalto minimise l’intrusion

« Si nous regardons en arrière, sur la période couverte par les documents de la NSA et le GCHQ, nous confirmons avoir fait face à plusieurs attaques, » détaille le communiqué de l’entreprise. Si Gemalto, côté au CAC 40 et qui produit 2 milliards de cartes SIM par an, reconnaît l’intrusion,elle minimise l’impact du supposé vol.

D’autant plus que les codes piratés à l’époque concernaient des cartes SIM génération 2G — moins bien protégés que les actuelles (3G et 4G). Gemalto estime bon de préciser, que « La capacité à intercepter les appels aurait toutefois été limitée dans le temps, car la plupart des cartes SIM 2G en service à l’époque dans les pays ciblés étaient des cartes prépayées avec un cycle de vie très court, généralement entre 3 et 6 mois. »

L’entreprise assure que les échanges de clés avec les opérateurs sont désormais « hautement sécurisés ».

Gemalto précise enfin qu’aucun autre produit de l’entreprise n’est concerné par cette attaque. La firme franco-hollandaise produit aussi des puces sécurisées pour cartes bancaires, pour les cartes d’identité et permis de conduire ainsi que certains passeports biométriques.

Suivez Pierre Longeray sur Twitter @PLongeray

Image via Wikimedia / SecretDisc