Gemalto piratée par la NSA et le GCHQ dès 2009

Carte SIM

La carte à puce est la base de nombreux systèmes de sécurité : cartes bancaires, badges d’accès, cartes SIM.

Les cartes SIM sont utilisées dans les téléphones portables pour identifier l’appelant avec l’opérateur téléphonique, à des fins administratives et comptables. Elles sont aussi utilisées pour chiffrer les communications vocales et les échanges de données.

Une clé de chiffrement est gravée sur toute carte SIM, et l’opérateur mobile ayant distribué cette carte en possède une copie.

Lors de la connexion, le téléphone opère une manipulation mathématique à l’aide de la clé de chiffrement de la carte SIM, et d’une donnée envoyée par l’opérateur, qui effectue la même manipulation. Le téléphone envoie le résultat à l’opérateur qui le compare au sien. S’ils sont identiques, l’opérateur authentifie le téléphone et les conversations téléphoniques comme les échanges de données seront désormais chiffrées à l’aide de la clé.

Vol des clés de milliards de cartes à puces

Des documents du dénonciateur Edward Snowden, confiés et rapportés par The Intercept, montrent que les services secrets américains et anglais, la NSA et le GCHQ, ont piraté Gemalto, le plus grand fournisseur de cartes SIM au monde, au moins depuis 2009, et ont dérobé des milliards de clés de chiffrement de cartes SIM.

450 opérateurs mobiles dans le monde achètent 2 milliards de cartes SIM par an à Gemalto.

Avec ces clés, ces services peuvent circonvenir la loi de leur pays et des pays étrangers, pour écouter des télécommunications ou accéder aux échanges de données sans avoir recours à l’autorisation d’un juge, ou toute autre procédure juridique prévue par la loi. Le système cryptographique déficient du GSM n’utilisant pas la confidentialité persistante, ils peuvent aussi déchiffrer des conversations déjà enregistrées. Aux États-Unis, les forces de l’ordre comme le FBI peuvent lancer des écoutes auprès d’opérateurs américains sur décision de justice. C’est beaucoup plus compliqué à l’international, puisqu’ils doivent obtenir l’assentiment de l’opérateur étranger et du gouvernement étranger.

Les services secrets pourraient pirater les opérateurs, mais c’est une activité coûteuse et dangereuse.

Les services de renseignement au-dessus des lois

Le vol des clés de chiffrement de carte SIM simplifie la donne pour ces services de renseignement : ils n’ont besoin de l’accord de personne, n’ont pas besoin de pirater les réseaux, et peuvent écouter les conversations sans que personne ne s’en aperçoive.

De fait, la Mobile Handset Exploitation Team, une équipe formée par du personnel de la NSA et du GCHQ en 2010, ne s’est pas contentée de pirater Gemalto. L’ensemble des fabricants de cartes SIM, et de nombreux employés de Nokia, Ericsson, Huawei, et notamment ceux utilisant les services de messageries comme Google et Yahoo ont été piratés. Des milliards de clés SIM ont été dérobées. Les comptes et les mots de passe Facebook auraient aussi été utilisés pour pirater.

Le smartphone comme carte de crédit et carte d’identité

Ces révélations laissent songeur.

On est incrédule devant le fait que Gemalto, le ‘leader mondial de la sécurité numérique’ s’est non seulement fait pirater, mais ne s’en est jamais aperçu en six ans, et n’arrive toujours pas, après en avoir été informé, à trouver des traces de piratage.

Cela n’incite pas à la confiance, au moment où on en a le plus besoin.

D’une part parce que la simple possession d’une carte SIM peut vous faire assassiner par drone par les Américains. D’autre part parce que les smartphones sont de plus en plus souvent utilisés pour l’identification et l’autorisation : carte d’embarquement, facteur d’authentification de systèmes d’authentification à facteurs multiples, et paiements.

On s’en doutait et maintenant on en est sûr : il ne faut surtout pas se reposer sur les opérateurs télécoms pour garantir la confidentialité de nos communications et de nos échanges de données, il faut avoir recours à des applications tierces de chiffrement.

Promesse de politicien

Pas plus tard que le 17 janvier 2014, le Président Obama, lors d’un discours sur le scandale d’espionnage de masse de la NSA, affirmait :

« L’essentiel est que les gens dans le monde entier, quelle que soit leur nationalité, devraient savoir que les États-Unis n’espionnent pas les gens ordinaires qui ne menacent pas notre sécurité nationale et que nous prenons leurs préoccupations en considération dans nos politiques et procédures. »

On n’en attendait pas moins de celui qui n’a jamais tenu sa promesse de campagne de fermer Guantánamo Bay et qui concluait un accord des plus favorables avec les organismes financiers responsables de l’escroquerie généralisée des prêts hypothécaires, avant même d’entrer à la maison blanche.