LA SOCIETE GEMALTO VICTIME D'UN VOL DE CLES DE CRYPTAGE "MADE IN NSA"

Publié par le dans | Consulté 48 Fois

Gelmato est une société franco-néerlandaise dont le slogan « security to be free » se traduit en Français par « la sécurité pour être libre ». Fondée en 2006, son activité consiste à assurer la sécurité numérique de ses clients et de leurs usagers afin qu’ils puissent notamment « communiquer et s’identifier en toute confiance ». Ainsi Gelmato s’est spécialisée  notamment dans le développement de cartes SIM et en produit environ 2 milliards par an. Le 19 février 2015, sur la base de documents fournis par Edward Snowden, le journal d’investigation américain The Intercept révélait un vol massif de clés de chiffrement des cartes SIM produites par Gemalto. Cet incident permettrait la mise sur écoute de nombreuses, ce qui constituerait une véritable atteinte au secret des correspondances en droit français, de plus il porte un sérieux coup de massue à la réputation de la société.

  • La possibilité de reconstituer des correspondances privées par l’Agence Nationale de Sécurité Américaine, une atteinte au secret des correspondances

Avant toute chose, il convient de préciser l’utilité d’une clé de chiffrement. La carte SIM (Suscriber Identity Module)  est une puce qui permet la connexion du téléphone mobile au réseau de l’opérateur ainsi que l’identification de l’abonnée. Elle contient les informations relatives au réseau de l’opérateur et à l’abonnement. Chaque carte dispose de sa propre clé de chiffrement (nommée aussi clé de cryptage) qui permet d’identifier le téléphone sur le réseau mais aussi de chiffrer ou déchiffrer les communications. Toute personne ou entité munie de cette clé peut reconstituer les communications de l’utilisateur du téléphone sans que la compagnie de téléphone ou l’autorité du pays soient au courant. Ainsi le site souligne « qu’avoir ces clés permet d’éviter de demander un mandat pour mettre une personne sur écoute, et ne laisse aucune trace sur le réseau qui révélerait l’interception des communications ». A part, le fabricant de cartes SIM, l’opérateur de réseau mobile est le seul à disposer de la copie de la clé de chiffrement. Mais ce n’est plus le cas pour les titulaires de carte SIM dont la clé de chiffrement a été dérobée. Pour rappel, la société Gemalto produit des cartes SIM pour environ 450 opérateurs dont le monde, dont Orange et SFR. L’Agence Nationale de Sécurité américaine serait en possession « d’une  quantité sidérante » de clés de chiffrement de cartes SIM. Elle aurait donc le pouvoir d’intercepter des communications privées des personnes dont les cartes SIM ont été compromises, sans bien entendu l’accord de l’opérateur et de l’usager. Les écoutes pouvant avoir lieu en temps réel ou à  posteriori pour les conversations archivées ».

Le secret des correspondances trouve son fondement notamment dans l’article 11 de la Déclaration Universelle des Droits de l’Homme de 1789. Le code de la sécurité intérieure souligne  que le secret des correspondances émises par la voie des communications électroniques est garanti par la loi. L’atteinte au secret ne pouvant provenir que de l’autorité publique, dans les seuls cas de nécessités d’intérêts public prévus par la loi et dans les limites fixées par celle-ci ». Par ailleurs, le code des postes et des communications électroniques prévoit dans son article 32-1 que « le ministre chargé des communications électroniques et l’autorité de régulation des communications électroniques et des postes prennent (…) veillent au respect par les opérateurs de communications électroniques du secret des correspondances et du principe de neutralité au regard du contenu des messages transmis, ainsi que de la protection des données à caractère personnel ». Le vol de ces clés peut conduire à la mise sur écoute des français abonnés à Orange ou SFR et mettre en péril leurs droits au secret des correspondances. Bien que le vol ait été organisé par l’Agence Nationale de Sécurité  américaine qui est une institution privée, pour l’instant, ni les opérateurs de communications électroniques français, ni l’autorité de régulation ne se sont prononcés sur cette affaire.

  • Le vol des clés de chiffrement, une atteinte à la réputation du groupe Gemalto supposé garant de la sécurité numérique

De quelles manières la société Gemalto a-telle pu subir ce vol ? Les faits ont été commis entre les années 2010 et 2011. Tout d’abord,  les agents du quartier général des communications du Gouvernement britannique (GCQH) ont identifié les salariés de Gemalto pouvant avoir accès aux clés de chiffrement. L’identification effectuée, les agents de l’Agence Nationale de sécurité américaine (NSA) se sont ensuite introduit dans le réseau de communication utilisé par les salariés pour accéder à la totalité de leur activité en ligne (courriels, comptes facebook). Les clés de chiffrements étant transmises du fabricant Gemalto aux différents opérateurs mobiles et fournisseurs par le biais de courriels, l’espionnage  des ces courriels a  permis de les intercepter.  L’adage l’union fait la force prend ainsi tout son sens, surtout quand l’union est composée deux éminents experts de l’espionnage.

Pour Gemalto, les dommages collatéraux sont lourds. Bien que dans un communiqué l’entreprise ait indiqué « nous allons consacrer toutes les ressources nécessaires (…) pour comprendre la portée des techniques sophistiquées,  utilisées pour intercepter les données sur les cartes SIM », le mal est déjà fait. D’une part,  l’image de ce leader mondial de la sécurité numérique est écornée, puisque le message de sécurité qu’il garantit et qui constitue le cœur de son activité est mis à rude épreuve. D’autre part, les répercussions économiques négatives se font déjà ressentir. En effet un jour après les révélations, soit le vendredi 20 février, le cours de  la bourse de la société reculait de 5,8 % au CAC40. Face à  ce constat amer, on aurait pu s’attendre à des représailles, toutefois le directeur général du groupe Olivier Piou a fait savoir que les faits étant difficiles à prouver au niveau juridique, aucune action en justice n’allait être intentée contre le Royaume-Uni et les États-Unis.

Alors que Gemalto n’envisage aucune action, au niveau européen certains s’interrogent sur l’implication du Royaume-Uni dans cette affaire. La déclaration commune des autorités européennes de protection de données réunies au sein du groupe de l’article G 29, adoptée le 25 novembre 2014 précise que « la surveillance secrète, massive et indiscriminée de personnes en Europe, que ce soit par des acteurs publics ou privés, agissant au sein des États membres de l’Union ou ailleurs, n’est pas conforme aux Traités et Législations européennes. Elle est inacceptable sur le plan éthique ». Pourtant, bien que les services de renseignement britannique aient contrevenu au droit européen, aucun État de l’Union, ne s’est exprimé sur le sujet. Ainsi, l’eurodéputé Allemand Jan Philipp Albrecht (les verts) estime que « les États membres de l’Union devraient pousser le Royaume-Uni à entamer une enquête immédiatement ».

En attendant, afin de redorer son blason, la société tente de rassurer ses clients. Les conclusions de son investigation rendues le 25 février 2015, reconnaissent que des intrusions ont bien eu lieu entre 2010 et 2011, mais qu’elles ne concernent que le réseaux bureaucratiques de la société. Les clés de cryptages n’étant pas stockées sur ces réseaux. Aucun vol n’aurait pu avoir eu lieu. Jusque ici cela semble rassurant. Néanmoins, la tentative d’appaisement prend l’eau quand la société prend soin de préciser que si il y avait eu un vol, cela ne concernerait que les cartes SIM prépayées 2G grandement utilisé à l’époque.  Ainsi elle affirme, « ces cartes SIM ayant un cycle de vie de courte durée, la capacité à intercepter les appels ne pourrait être que limitée dans le temps ».

En matière d’espionnage, la NSA n’en est pas à son coup d’essai. Il faut rappeler qu’en 2013, elle s’était également retrouvée au cœur d’un scandale d’espionnage, accusée d’avoir mis sur écoute la Chancelière Allemande, Angela Merkel. Sachant que l’Agence était déjà capable en 2009 de traiter 12 à 22 millions de clés de chiffrement par seconde, on peut imaginer que cette fois ci, elle pourrait intercepter les communications privées d’un plus grand nombre citoyens à travers le monde. La surveillance de masse orchestrée par les services de renseignements met une fois de plus en péril la protection des données personnelles et partant de là, la vie privée des citoyens.

Sources:

LELOUP (Da)., « Cartes SIM piratées : Gemalto confirme des attaques mais pas de vol massif »,  lemonde.fr, mis en ligne le 25 février 2015, consulté le 25 février 2015 <http://www.lemonde.fr/pixels/article/2015/02/25/cartes-sim-piratees-gemalto-confirme-des-attaques-mais-pas-de-vol-massif_4582726_4408996.html >

HERMANN (Vi)., « Gemalto cambriolé par la NSA et le GCHQ, des millions de cartes SIM en danger », nextinpact.com, mis en ligne le 20 février 2015, consulté le 25 février 2015, < http://www.nextinpact.com/news/93144-gemalto-cambriole-par-nsa-et-gchq-millions-cartes-sim-en-danger.htm >

BECKY (Ar)., « Les CNIL Européennes encadrent la surveillance made in NSA », silicon.fr, mis en ligne le 9 décembre 2014, consulté le 25 février 2015, <http://www.silicon.fr/protection-donnees-g29-cnil-declaration-commune-103732.html >