En réponse à des documents du dénonciateur Edward Snowden qui détaillaient les actions du NSA et du GCHQ pour permettre des écoutes téléphoniques sans mandat et l’interception de données, le leader des cartes SIM, Gemalto, a enquêté et publié les conclusions suivantes :
L’entreprise avait détecté des attaques sophistiquées en 2010-2011, et elle reconnaît qu’une opération de la NSA et du GCHQ a probablement bien eu lieu.
Elle affirme que ces attaques n’ont donné un accès, temporaire, qu’au réseau extérieur de ses bureaux. Comme les clés des cartes SIM et les autres données sensibles comme les cartes bancaires, les cartes d’identité et les passeports ne sont pas stockées sur ce réseau, un vol massif de clés SIM n’a pu avoir lieu.
Gemalto, qui note de nombreuses erreurs factuelles dans l’article de The Intercept, affirme aussi que de telles clés n’auraient permis des écoutes téléphoniques que sur des réseaux 2G. Les réseaux 3G et 4G utiliseraient des algorithmes propriétaires comme niveau additionnel de sécurité.
Ce qui peut rassurer les Européens, mais la plupart des cibles de l’époque des services secrets vivaient probablement dans des pays aux infrastructures 2G.
Notons toutefois que la communauté des spécialistes du chiffrement déconseille l’utilisation d’algorithmes propriétaires, car la sécurité par l’obscurantisme est une illusion. Seul un algorithme de chiffrement publié et qui a résisté aux attaques de nombreux chercheurs peut donner des gages de sûreté.
Cette déclaration semble avoir rassuré les investisseurs, puisque le cours de l’action Gemalto, qui avait plongé après les révélations, est en hausse de plus de 3 %.