Il s’agit de la dernière d’une longue lignée de révélations d’Edward Snowden sur la NSA et il pourrait s’agir d’une des plus choquantes : il affirme que la NSA et son homologue britannique, le GCHQ, auraient compromis les réseaux de Gemalto, volant ainsi des clés de chiffrement protégeant plusieurs millions, voire des milliards de cartes SIM.
Compromettre les cartes SIM à ce niveau remet en question l’intégrité de tout le système de communication cellulaire mondial. Cela ne veut pas dire que vos communications sont surveillées, mais qu’elles pourraient l’être en un seul clic.
Si vous vous demandez qui est Gemalto, nous vous répondrons qu’il s’agit d’un fabricant mondial de cartes SIM de téléphone portable. En réalité, ils fabriquent plus de cartes SIM que toute autre organisation dans le monde, selon The Economist.
From Espresso: Cards on the table: the hacking of Gemalto http://t.co/6fCR9a3I3o pic.twitter.com/E6rzg507ov
— The Economist (@TheEconomist) February 25, 2015
L’article de The Interception dans lequel ces allégations ont été rendues publique, estime que Gemalto produit environ 2 milliards de cartes SIM par an. Pour remettre cela en contexte, il y a 7,125 milliards d’humains dans le monde; environ 7,19 milliards de dispositifs mobiles. Parmi les clients de Gemalto, on trouverait les fournisseurs de téléphonie mobile Sprint, AT&T, Verizon, T-Mobile et quelques 450 autres fournisseurs. La société est présente dans 85 pays et exploite 40 installations industrielles.
SIM est un acronyme pour le module d’identification d’abonné. Une carte SIM est un petit circuit intégré qui se branche sur votre appareil mobile. Il contient l’identité internationale et unique de l’abonné mobile (IMSI) ainsi qu’une clé d’authentification chiffrée, les deux éléments servant essentiellement à valider le fait que votre téléphone soit bien votre téléphone. Cela fonctionne un peu comme la paire nom d’utilisateur-mot de passe, sauf que ce système se base uniquement sur le matériel et ne peut donc pas être modifié.
Avoir la liste principale de ces clés donnerait la possibilité à un hacker de surveiller les communications et les données des périphériques contenant une carte SIM dont la clé de chiffrement se trouve sur la liste. Si ces allégations se révèlent être vraies, cela signifierait que la NSA et le GCHQ ont la capacité de contrôler des quantités massives de communications et de données cellulaires partout dans le monde sans aucun mandat ou autre autorisation judiciaire.
Des allégations sur la NSA affirment qu’elle aurait piraté @Gemalto et volé les clés de chiffrement de plusieurs millions de cartes SIM
Tweet
On entend beaucoup parler des activités de la NSA liées aux métadonnées dans les médias non spécialisés, mais de telles fuites et révélations concernant la compromission de groupes de générateurs pseudo-aléatoires sont vraiment troublantes. Les métadonnées peuvent vous en dire beaucoup concernant l’endroit où une personne s’est rendue, avec qui elle est associée, et tout simplement vous révéler qui est cette personne. Une attaque massive des cartes SIM ou des protocoles de chiffrement donnerait la possibilité à un hacker d’observer réellement le contenu de notre correspondance avec une autre personne. Alors que la situation géographique et les interactions d’un mobile fournissent déjà de nombreuses informations, on ne vous parle même pas des communications en texte clair. Aucune analyse n’est nécessaire : celles-ci s’affichent en temps réel.
Dans un document secret qui aurait été volé par l’ancien consultant de la NSA et rendu public par The Intercept, la NSA déclare: » [nous] avons réussi avec succès à pénétrer dans plusieurs machines de [Gemalto]et pensons être en possession de l’intégralité de leur réseau… »
Information regarding a report mentioning a hacking of SIM card encryption keys http://t.co/huYdcV09Hy
— Thales Digital Identity & Security (@ThalesDigiSec) February 20, 2015
La confidentialité et la sécurité des communications cellulaires ne sont pas les seules concernées dans ce cas. Il y a également des implications financières substantielles, et ce, pour deux raisons. Comme l’affirment Chris Soghoian, technicien chez l’American Civil Liberties Union et Matthew Green, chercheur spécialisé en chiffrement à l’Université de Johns Hopkins, dans l’article de The Intercept, les cartes SIM n’ont pas été conçues pour protéger les communications individuelles. Elles ont été conçues pour simplifier le processus de facturation et empêcher aux utilisateurs d’escroquer le fournisseur de services mobiles lors des premiers jours d’utilisation du téléphone. Dans certains pays en voie de développement encore largement dépendants des réseaux cellulaires de deuxième génération dépassées et faibles, de nombreux utilisateurs utilisent leurs cartes SIM pour des transferts d’argent ainsi que pour des services de microcrédit comme le très populaire M-Pesa
Une attaque de Gemalto met potentiellement en péril l’intégrité d’une infrastructure de communication mondiale de plus en plus dépendante des dispositifs mobiles et des cartes SIM qu’abritent ces dispositifs.
Ce n’est pas seulement un problème financier pour le monde en développement : Gemalto est un important fabricant de puces, micro-puces et code PIN ainsi que de cartes de paiement EMV, le principal mode de paiement en Europe. Ces cartes pourraient donc également être potentiellement compromises. Selon The Intercept, les puces de Gemalto sont également utilisées pour des systèmes d’entrée de bâtiments, les passeports électroniques, les cartes d’identité et enfin pour des systèmes de clés de voitures de luxe, comme AUDI et BMW. Si vous possédez une puce ou une carte PIN de Visa, Mastercard, American Express, JP Morgan Chase ou Barclays, il y a alors de fortes chances pour que la puce de votre carte de paiement ait été développée par Gemalto et, par conséquent, pour que sa clé de chiffrement ait été compromise.
Pour sa part, malgré les allégations et les documents hypothétiquement secrets, Gemalto nie fermement la compromission de ses réseaux sécurisés.
» Aucune infraction n’a été trouvée dans l’infrastructure exécutant notre activité de SIM ou dans d’autres parties du réseau sécurisé qui gèrent nos autres produits tels que des cartes bancaires, des cartes d’identité ou des passeports électroniques. Chacun de ces réseaux est isolé l’un de l’autre et ne sont pas connectés aux réseaux externes » déclare l’entreprise dans un communiqué.
Gemalto presents the findings of its investigations into the alleged hacking of SIM card encryption keys http://t.co/AV0TmzVUmZ
— Thales Digital Identity & Security (@ThalesDigiSec) February 25, 2015
Toutefois, la société avait pris connaissance de plusieurs tentatives de piratage ayant eu lieu dans le passé, et dont elle tenait pour responsables la NSA et le GCHQ.
Un autre aspect troublant concernant les révélations de Snowden est que le document est daté de 2010. En d’autres termes, cela signifie que, non seulement cette opération concernant les cartes SIM a duré 5 ans, mais aussi que la technique a cinq ans. Une éternité en informatique.
Au-delà du risque personnel que la compromission des clés de la carte SIM pose à notre vie privée collective et individuelle, si les documents de Snowden sont réels, alors cette attaque serait un cauchemar en termes de relations internationales. Vous vous souvenez il y a deux mois quand tout le monde s’insurgeait de l’attaque de la Corée du Nord contre Sony Pictures Entertainment et la considérait comme une déclaration de guerre ? Au moins cette attaque, qui a de grandes chances d’avoir été perpétrée par la Corée du Nord, ciblait un studio de films et a diffusé des scripts de films et des courriers électroniques. Une attaque sur Gemalto compromettrait potentiellement l’intégrité d’une infrastructure de communication mondiale de plus en plus liée aux appareils mobiles et aux cartes SIM qui se trouvent à l’intérieur.