Depuis quelques jours, l’affaire Gemalto fait grand bruit. Le principal fabricant de cartes SIM pour téléphones mobiles a été victime d’une attaque informatique pilotée par le Quartier général des communications du gouvernement britannique (GCHQ) et l’Agence nationale de la sécurité américaine (NSA). Les deux agences de renseignement ont ainsi mis la main sur des clés de chiffrement de cartes SIM pour téléphones mobiles. À quelles fins ? Quelles conséquences pour les consommateurs ? Quels enseignements tirer de ce piratage ? Voici les principales clés du scandale.
L’affaire a été révélée le 19 février 2015 par le site The Intercept, mais l’attaque remonte à 2010. Cette année-là, au mois de juin, Gemalto remarque une activité suspecte sur son réseau « Office », le réseau interne que les salariés empruntent pour communiquer entre eux. Un mois plus tard, le fabricant constate qu’un faux e-mail a été envoyé de sa part à l’un de ses clients, un opérateur mobile français. Ce message contenait un logiciel malveillant en pièce jointe. Habitué aux attaques informatiques, qu’il déjoue quotidiennement, Gemalto traite et consigne à l’époque ces deux intrusions, sans s’y pencher plus. Aujourd’hui, l’entreprise fait le lien avec la NSA et le GCHQ.
Que s’est-il passé ?
A priori, la NSA et le GCHQ ont espionné les communications privées (e-mails et comptes Facebook) des salariés de Gemalto qui sont fréquemment en contact avec les clients de l’entreprise. Ils ont ainsi mis la main sur des clés de chiffrement de cartes SIM pour téléphones mobiles. Il s’agit d’un code qui permet à l’opérateur mobile de s’assurer que la connexion à son réseau, pour téléphoner ou envoyer un message, est établie en bonne et due forme par un utilisateur référencé. Grâce à ces clés, les agences de renseignement britannique et américaine auraient été en mesure d’écouter les conversations et de lire les SMS échangés par les propriétaires des cartes SIM.
Combien de cartes SIM sont concernées ?
Très peu, selon Gemalto. Evidemment, le fabricant a tout intérêt à minimiser la portée de cette affaire, dont le périmètre de nuisance semble toutefois restreint. D’abord, seules des cartes SIM 2G sont potentiellement concernées. « Les cartes SIM 3G et 4G sont nettement mieux sécurisées, la clé de cryptage ne suffit pas pour décrypter les conversations et les messages des utilisateurs », assure Serge Barbe, le vice-président Technologie et Innovation de Gemalto. Ensuite, les attaques ont ciblé les process de l’entreprise, pas les cartes SIM elles-mêmes. Gemalto assure que seules des clés n’ayant exceptionnellement pas transité par sa plateforme sécurisée (des cartes de test, par exemple) ont pu fuiter.
Quels consommateurs sont concernés ?
Gemalto, qui a mené une enquête interne, évoque cependant des clés de chiffrement dérobées correspondant à des cartes SIM localisées en Afghanistan, en Iran, en Serbie ou encore au Yémen. Il s’agirait très majoritairement de cartes prépayées. A priori, en France, les consommateurs ne sont pas vraiment visés.
Y’aura-t-il une suite judiciaire ?
Gemalto n’a pas pris contact avec ses agresseurs. « Contacter la NSA et le GCHQ ? Une perte de temps, ils ne nous répondront pas », explique Olivier Piou, directeur général de l’entreprise. Un recours juridique ? « Les faits sont difficiles à prouver. De plus, attaquer un État est long et coûteux. Non, nous ne porterons pas l’affaire en justice », indique le dirigeant.
Pourquoi le gouvernement français n’a pas réagi ?
Au-delà des faits, cette attaque d’une entreprise privée par des autorités nationales étrangères révèle des méthodes d’investigations malhonnêtes, quelles que fussent leurs cibles. Interviewé par nos confrères du Monde, l’eurodéputé allemand Jan Philipp Albrecht (Verts), vice-président de la Commission LIBE (libertés civiles, justice et affaires intérieures), a estimé que « la seule réaction appropriée aurait dû être une condamnation immédiate par les chefs d’État des pays concernés. (…) C’est un acte d’agression en droit international ». Gemalto, plus clément, indique que les gouvernements ont « sans doute mieux à faire » mais évoque une autre piste. « Les Anglais et les Américains sont dans le XXIe siècle, ils maîtrisent le "cyber monde". Ce n’est pas le cas de la France, qui ne dispose même pas des outils ». Un retard dans la lutte contre la cybercriminalité plus inquiétant, sans doute, que l’attaque elle-même.
