Piratage des cartes SIM : Gemalto confirme à demi-mots
mer, 25/02/2015 - 15:05
Comme annoncé, Gemalto a communiqué aujourd'hui au sujet de l'affaire du vol des clés de cryptage de ses cartes SIM. Un piratage qui permet à la NSA d'écouter à volonté les communications téléphoniques faites via ces cartes, en outrepassant la justice. Un piratage sidérant par son ampleur, l'expression est du site The Intercept qui a révélé l'affaire.
L'entreprise Gemalto reconnaît avoir subi des cyberattaques évoluées en 2010: "de faux e-mails ont été envoyés à l’un de nos clients opérateur mobile en usurpant des adresses e-mail authentiques de Gemalto. […] Nous avons également détecté plusieurs tentatives d'accès aux ordinateurs de collaborateurs de Gemalto ayant des contacts réguliers avec des clients [...] A l’époque, nous n’avons pas pu identifier les auteurs de ces attaques, mais maintenant nous pensons qu’elles pourraient être liées à l'opération du GCHQ et de la NSA."
Aujourd'hui, considérant que les méthodes évoquées par Gemalto sont celles indiquées par Edward Snowden dans ses révélations, les auteurs des attaques ne font guère de doute.
Selon Snowden, la NSA et GCHQ ont piraté les comptes e-mail et Facebook de plusieurs employés de Gemalto chargés de transmettre les clés de chiffrement aux clients, dans le but d’intercepter ces transferts.
Gemalto ne rappellera toutefois pas les cartes SIM comme l'a préconisé hier Edward Snowden sur Reddit.
When the NSA and GCHQ compromised the security of potentially billions of phones (3g/4g encryption relies on the shared secret resident on the sim), they not only screwed the manufacturer, they screwed all of us, because the only way to address the security compromise is to recall and replace every SIM sold by Gemalto.
Quand la NSA et le GCHQ ont potentiellement compromis la sécurité de milliards de téléphones, ils n'ont pas seulement en.... le fabricant, ils nous ont tous en..... car la seule façon de remédier au problème est de rappeler toutes les cartes vendues par Gemalto et de procéder à leur remplacement.
Gemalto a indiqué ne pas avoir l'intention de porter plainte, ni contre les Etats-Unis, ni contre le Royaume-Uni.