L’analyse de la méthode décrite dans les documents et les tentatives d’intrusion sophistiquées détectées par Gemalto en 2010 et 2011 rendent cette opération probable de piratage de clés d’encryptage de cartes SIM par le Quartier Général des Communications du Gouvernement britannique (GCHQ) et l’Agence Nationale de la Sécurité américaine (NSA). Telle est la conclusion que publie Gemalto dans un communiqué publié ce jour.
Le constructeur donne les détails complémentaires suivants :
– Les attaques contre Gemalto n’ayant touché que des réseaux bureautiques, elles n’ont pas pu résulter en un vol massif de clés d’encryptage de cartes SIM.
– La technique utilisée étant d’intercepter les clés lors de l’échange entre l’opérateur telecom et ses fournisseurs, et Gemalto ayant avant 2010 déjà largement déployé un système d’échange sécurisé avec ses clients, seuls quelques cas exceptionnels ont pu aboutir à un vol.
– Les données éventuellement volées par cette méthode ne sont exploitables que dans les réseaux de deuxième génération (2G). Les réseaux 3G et 4G ne sont pas vulnérables à ce type d’attaque.
– Aucun autre produit de Gemalto n’est concerné par cette attaque.
– L’encryptage systématique des données et des échanges, l’utilisation de cartes de dernières générations et d’algorithmes personnalisés pour chaque opérateur sont les meilleures réponses à ces attaques.
L’analyse des documents démontre aussi que les attaques de la NSA et du GCHQ ont eu de nombreuses autres cibles que Gemalto. La position de Gemalto a pu en faire la cible de prédilection présumée de services de renseignement pour atteindre le plus grand nombre de téléphones, mais le constructeur a relevé plusieurs éléments qui ne le concernent pas, par exemple :
– Gemalto n’a jamais vendu de cartes SIM à quatre des douze opérateurs cités dans les documents, en particulier l’opérateur somalien auquel 300 000 clés d’authentification auraient été volées.
– Une liste censée localiser les centres de personnalisation de cartes SIM du constructeur indique une présence au Japon, en Colombie et en Italie, alors que Gemalto n’avait pas de centre de personnalisation dans ces pays à l’époque.
– Les fournisseurs de cartes SIM ne représentent que 2% des sources de clés d’encryptage alors que l’usage de méthodes d’encryptage fortes par les fournisseurs de SIM fait que les autres groupes (98%) sont nettement plus vulnérables à des tentatives d’interception.