C’est un gros dossier qui vient d’être dévoilé par Edward Snowden et révélé par le média The Intercept. L’entreprise Gemalto a été attaquée conjointement par la NSA et le GCHQ. L’affaire est grave, les services de renseignement ayant pu mettre la main sur les clés servant au chiffrement des communications mobiles à travers nos cartes SIM : c’est tout le réseau GSM qui est compromis.

910996

Gemalto, c’est le spécialiste français de la sécurité numérique, l’entreprise qui a produit plus de deux milliards de cartes SIM, dont celles de nos opérateurs mobiles français, comme SFR ou Orange. La NSA et le GCHQ, ce sont respectivement les services de renseignement américain et anglais. Enfin, Edward Snowden, l’ancien employé de la Central Intelligence Agency (CIA) et de la National Security Agency (NSA), qui a révélé les détails de plusieurs programmes de surveillance de masse américains et britanniques.

 

La NSA et la GCHQ ont réussi à infiltrer Gemalto en 2010

Maintenant que les protagonistes sont présentés, voici les faits dévoilés par Edward Snowden. La NSA (National Security Agency) et la GCHQ (Government Communications Headquarters) ont formé une union nommée MHET (Mobile Handset Exploitation Team) qui a réussi à s’infiltrer au sein de Gemalto en 2010. Un employé à Taïwan aurait permis au duo de trouver un moyen de pirater les cartes SIM produites par Gemalto ; il faut dire que le groupe anglo-américain espionnait le maximum d’employés de Gemalto à la recherche d’une faille.

Les terminaux (appareils) sont identifiés par un numéro d’identification unique de 15 chiffres appelé IMEI (International Mobile Equipment Identity). Chaque carte SIM possède également un numéro d’identification unique (et secret) appelé IMSI (International Mobile Subscriber Identity). Ce code peut être protégé à l’aide d’une clé de 4 chiffres appelés code PIN.

Une fois à l’intérieur, le MHET ont cherché un moyen d’accéder aux données, et surtout aux clés de chiffrement des cartes SIM. En effet, nos données et nos échanges sans fil voyagent par ondes radio, et sont donc faciles à intercepter. Pour sécuriser nos moyens de communication, Gemalto a développé un système de chiffrement. Pour chiffrer et déchiffrer nos données, le spécialiste de la sécurité utilise des clés de chiffrement.

Et… le MHET aurait réussi son coup. Ce sont ces fameuses clés de chiffrement qui auraient été dérobées par la NSA et la GCHQ. Potentiellement, les services de renseignement anglo-américains seraient capables de déchiffrer des conversations : appels, SMS et même des données diverses. En effet, la SIM contrôle non seulement l’authentification et le chiffrement des communications, mais aussi les opérations de maintenance de base.

medium-152809

Avec ces clés en mains, les services de renseignement ont eu la possibilité ensuite d’intercepter des communications, sans avoir à demander l’accès aux opérateurs. D’après d’autres documents dévoilés, la NSA était capable de gérer le calcul de 12 à 22 millions de clés par seconde. L’Iran, l’Afghanistan, le Yémen, l’Inde, la Serbie, l’Islande, Tadjikistan ou encore le Pakistan auraient été les cibles de la NSA et du GCHQ, Gemalto gère les cartes SIM de 480 opérateurs mobiles dans le monde.

 

Alex Mandl, l’administrateur qui fait tâche

Alex Mandl est le président non-exécutif de Gemalto, ancien administrateur du fonds d’investissement In-Q-Tel. In-Q-Tel ? Le bras armé technologique des agences de renseignement américaines, la CIA et la NSA. Il est également membre de Business Executives for National Security (Bens), un groupe militaire conseillant le Pentagone et les agences de renseignement américaines.

 

Le réseau GSM est compromis

Cette affaire met en exergue la faiblesse du réseau GSM. Aujourd’hui, les clés sont gérées par lots et sont toutes gardées dans un lieu unique. Gemalto, l’ensemble des partenaires de l’entreprise, et nous – utilisateurs – n’avons pas vraiment de solution pour corriger le tir. Le réseau GSM est compromis, surtout que Gemalto n’a pas encore trouvé la faille dans son système.

L’affaire Gemalto va faire grand bruit, car l’entreprise française produit également des puces pour 3000 institutions financières (dont VISA et Mastercard) et plus de 80 gouvernements (dont la France). Le Royaume-Uni va également devoir répondre aux questions de nombreux États, le pays est membre de l’Union Européenne et a espionné ses membres.