Les leçons d’une demi-surprise sur les écoutes mobiles sauvages
La sécurité des réseaux de téléphonie est à nouveau ébranlée par le piratage de l’infrastructure de Gemalto. La surprise est loin d’être totale et des leçons s’imposent. Plus que jamais.
Selon The Intercept, la NSA et le GCHQ se sont infiltrés dans le système d’information de Gemalto, avant 2010, pour y dérober les clés de chiffrement associées aux cartes SIM. Comme le soulignent nos confrères, « avec ces clés, les agences du renseignement peuvent superviser les communications mobiles sans demander ni obtenir l’approbation d’opérateurs de télécommunications ou de gouvernements étrangers ».
Le premier concerné est ici l’industriel spécialiste de la sécurité. Dans un communiqué, il explique enquêter « suite à l’article mentionnant que, en 2010 et 2011, une unité conjointe composé d’opérationnels du GCHQ et de la NSA auraient collecté les clés de chiffrement de cartes SIM gravées dans les cartes SIM de Gemalto et, potentiellement, d’autres fabricants ». Et de prévoir une conférence de presse ce mercredi 25 février. Tout en se voulant rassurant : « les premières conclusions indiquent déjà que les produits SIM de Gemalto sont sûrs et que l’entreprise n’anticipe pas de préjudice financier significatif ».
L’opportunité de tester sa communication de crise
Se trouvant placé dans une posture comparable à celle de RSA, il y a quelques années, Gemalto semble ainsi avoir choisi une approche comparable : une transparence que l’on pourra qualifier de « raisonnable », comprendre relativement importante pour ses clients les plus exigeants, et suffisamment rassurante pour le public.
Mais comme d’autres avant, cet incident souligne les lacunes dans la gestion de cet élément sensible que sont les clés de chiffrement. Des lacunes qui trouvent leur origine dans son histoire : ces clés étaient d’abord conçues pour garantir la validité de la facturation et lutter contre la fraude, soulignent nos confrères. Et d’expliquer les listes entières de ces clés « peuvent être, plus généralement, transmis par e-mail ou par FTP ». Alors le GCHQ aurait « clandestinement » espionné des employés de Gemalto à la recherche de bons clients.
L’utilisateur, sa sensibilisation, les politiques et procédures de sécurité internes, encore et toujours… RSA n’avait pas été victime, in fine, d’autre chose que d’ingénierie sociale.
Des protocoles déjà largement compromis
Du côté des utilisateurs de la téléphonie mobile, ces révélations soulignent l’importance d’une couche de chiffrement supplémentaire, gérée indépendamment par l’utilisateur final ou son entreprise. Car l’histoire a montré, à plusieurs reprises, les vulnérabilités des réseaux de téléphonie mobile. De quoi souligner l’aspiration de la NSA et de son homologue britannique, non pas à des capacités d’écoute ciblées, mais à des capacités de renseignement de masse, en dehors de tout contrôle judiciaire.
De fait, fin décembre dernier, Karsten Nohl, un chercheur allemand, a levé le voile sur une faille affectant la couche de signalisation des réseaux de téléphonie, SS7, utilisée pour le routage des appels et des SMS, et permettant de surveiller des individus.
En 2010, Karsten Nohl avait déjà évoqué certaines faiblesses des réseaux SS7, soulignant que « tous les opérateurs se font confiance sur le réseau SS7 mondial ». Mais les vulnérabilités du réseau SS7 n’étaient pas son principal centre d’intérêt : le chercheur s’intéressait à l’algorithme A5/1, pour montrer comment il était possible de le casser pour écouter des conversations. Son successeur, l’A5/3, n’a pas attendu longtemps pour subir le même sort. En 2013, Karsten Nohl revenait à la charge, annonçant alors la « fin du mythe des cartes SIM inviolables ».
Chez Sophos, Paul Ducklin ne dit pas autre chose, dans un billet de blog, résumant la situation et les faiblesses des réseaux mobiles : « Pour faire court, si vous voulez chiffrer vos données, faites-le proprement ».
Continuer comme si de rien n’était ?
Mais si les projecteurs sont aujourd’hui tournés vers Gemalto et les agences du renseignement, les révélations de The Intercept ont également de quoi inquiéter les opérateurs télécoms. En premier lieu, il y a certes les algorithmes de chiffrement aujourd’hui utilisés pour leurs réseaux. Ou encore les failles d’une couche SS7 qui appelle au déploiement de solutions telles que celles de Symsoft.
Leurs systèmes de facturation, connus pour leur opacité, en particulier en ce qui concerne l’itinérance à l’étranger, sont ainsi mis en cause : le GCHQ revendiquerait ainsi la capacité de manipuler ces systèmes pour « supprimer » les coûts associés à ses activités pour mieux cacher ces dernières.
S’inquiétant des conséquences pour les libertés individuelles, mais aussi pour une industrie « des paiements mobiles, estimée à plus de 235 Md$ », la fondation du World Wide Web appelle « à des réponses » : « la NSA et le GCHQ, et les politiciens responsables de leur supervision doivent fournir une transparence complète sur la manière dont ils ont piraté une entreprise privée, dont le siège social se trouve dans un pays allié ». Surtout, « des mesures doivent être prises en urgence pour prévenir que des criminels n’exploitent ces vulnérabilités ».