La société Gemalto, dont les cartes SIM ont fait l'objet d'une opération de piratage menée par la NSA et le GCHQ, reconnaît que les informations relayées dans la presse sur la technique employée pour casser la sécurité des cartes SIM sont crédibles. Mais elle ajoute que la portée réelle de l'incident est à relativiser.

La semaine dernière, le site d'information The Intercept a publié de nouvelles informations sur l'ampleur de l'espionnage effectué par la NSA et son équivalent britannique, le GCHQ. Basées sur des documents datés de 2010, ces révélations montrent une collaboration entre les deux agences de renseignement en vue de pirater les cartes SIM fournies par les opérateurs téléphoniques dans le monde entier.

Pour y parvenir, la NSA et le GCHQ ont ciblé Gemalto, qui est le leader mondial de la fourniture de cartes SIM, et notamment ses bureaux français au cours d'une opération baptisée "HIGHLAND FLING". Celle-ci aurait permis aux deux agences de récupérer les clés de cryptage et d'écouter en clair, dans certaines circonstances, les communications téléphoniques en principe sécurisées.

GEMALTO ADMET LA POSSIBILITÉ DU PIRATAGE…

Une petite semaine la publication de l'article de The Intercept, Gemalto vient de présenter ce mercredi les conclusions de son enquête interne sur "l'allégation de piratage de clés d'encryptage de cartes SIM". L'entreprise reconnaît que la technique décrite dans les documents confidentiels peut effectivement aboutir au piratage des clés de cryptage. Cependant, Gemalto minimise l'incident.

" ?L'analyse de la méthode décrite dans les documents et les tentatives d'intrusion sophistiquées détectées par Gemalto en 2010 et 2011 rendent cette opération probable", déclare la société. Mais l'attaque "n'ayant touché que des réseaux bureautiques", elle n'a "pas pu résulter en un vol massif de clés d'encryptage de cartes SIM". The Intercept évoque pourtant une opération ayant touché des "millions de clés".

…MAIS RELATIVISE SA PORTÉE

Gemalto affirme par ailleurs avoir "largement déployé un système d'échange sécurisé avec ses clients" avant 2010, ce qui aurait permis de contrer la méthode employée par la NSA et le GCHQ (à savoir l'interception des clés entre l'opérateur et ses fournisseurs). "Seuls quelques cas exceptionnels ont pu aboutir à un vol", ajoute Gemalto. En outre, les réseaux 3G et 4G "ne sont pas vulnérables à ce type d'attaque".

En somme, "les données éventuellement volées par cette méthode ne sont exploitables que dans les réseaux 2G", poursuit Gemalto, qui souligne qu'aucun autre produit de son catalogue n'est concerné par cette attaque. Et, toujours dans un souci de relativiser l'affaire, Gemalto fait remarquer qu'il "n'a jamais vendu de cartes SIM à quatre des douze opérateurs cités dans les documents".

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.