Gemalto confirme des intrusions en 2010 et 2011

Le groupe français a identifié deux intrusions « particulièrement sophistiquées » à des périodes où NSA et GCHQ sont soupçonnés d’avoir tenté d’infiltrer son système d’information.

The Intercept avait affirmé, à partir de documents collectés par Edward Snowden, que la NSA et son homologue britannique, le GCHQ, s’étaient infiltrés dans le système d’information de Gemalto en 2010 et 2011 pour y collecter les clés de chiffrement de cartes SIM. Le groupe français avait indiqué, ce lundi 23 février, avoir lancé une enquête interne sur le sujet.

Des activités suspectes

Sans établir de lien définitif avec les deux services de renseignement mis en cause, Gemalto indique aujourd’hui avoir bien identifié « deux intrusions particulièrement sophistiquées », lors de ces années, « qui pourraient être liées à l’opération ».

En particulier, le groupe explique avoir relevé, en juin 2010, « une activité suspecte sur l’un de nos sites français où un tiers essayait d’espionner le réseau […] utilisé par les employés pour communiquer entre eux et avec le monde extérieur ». Des mesures auraient alors été prises pour mettre un terme à ces activités.

Mais un mois plus tard, « un second incident a été identifié par notre équipe de sécurité », qui ressemble cette fois à une tentative de hameçonnage ciblé : « de faux e-mails envoyés à l’un nos clients opérateurs mobiles usurpant des adresses e-mail Gemalto légitimes […] qui contenaient une pièce jointe pouvant téléchargement du code malicieux ». Le groupe explique avoir informé son client ainsi que les « autorités compétentes », tant de l’incident que « du type de logiciel malveillant utilisé ». L’histoire ne dit pas si le client en question a échappé à la contamination.

Mais Gemalto ajoute que, « au cours de la même période, nous avons détecté plusieurs tentatives d’accès aux PC d’employés de Gemalto qui sont en contact régulier avec des clients ».

Des pratiques… irréprochables ?

Quid, toutefois, de la question de la gestion de cet élément sensible que sont les clés de chiffrement ? Selon The Intercept, les employés de Gemalto n’avaient pas tous, à l’époque des faits, des pratiques irréprochables en matière de sécurité : des listes entières des clés de chiffrement des carte SIM auraient ainsi pu être « transmises par e-mail ou par FTP ».

Gemalto commence sa réponse en se penchant sur l’architecture de son système d’information : les intrusions mentionnées n’ont ainsi « affecté que les parties extérieures de nos réseaux – notre réseau bureautique – qui sont en contact avec le monde externe. Les clés de chiffrement SIM, et plus généralement les autres données clients, ne sont pas stockées sur ces réseaux ». Et d’insister : « il est important de comprendre que notre architecture réseau est conçue comme une coupe d’oignon ou d’orange ; elle comporte de multiples couches et segments qui aident à regrouper et isoler les données ». Alors, pour le groupe, « si les intrusions décrites ci-dessus étaient des attaques sérieuses, sophistiquées, rien n’a été détecté sur d’autres parties de notre réseau », en particulier sur « l’infrastructure pilotant notre activité SIM ».

Nous sommes préoccupés par le fait que des autorités d’Etat aient pu lancer de telles opérations contre des sociétés privées non coupables d’agissements suspects

Gemalto

Mais pour la transmission des données clients, le groupe assure avoir « généralisé » des « processus d’échange hautement sécurisés » qu’il avait déjà mis en place « bien avant 2010 ».

Reste que, en 2010, « ces méthodes de transmission de données n’étaient pas universellement utilisées et certains opérateurs et fournisseurs n’avaient pas choisi de les utiliser ».

Et de prendre l’exemple d’opérateurs pakistanais, déjà utilisateurs à l’époque de ces méthodes de transmission sécurisées et aux cartes SIM desquels la NSA et le GCHQ indiquaient ne pas avoir eu accès.

Une myriade de cibles

Gemalto pointe donc ainsi dans la direction de clients qu’il ne nomme pas, mais également d’autres tiers, nombreux : « l’analyse des documents montre que la NSA et le GCHQ ont ciblé de nombreux acteurs au-delà de Gemalto », ce dernier n’étant une cible de choix parmi d’autres que du fait de sa qualité de leader du marché.

Le groupe souligne n’avoir jamais fourni en cartes SIM quatre des opérateurs mentionnés dans les documents révélés par The Intercept.

Surtout, il rappelle la faiblesse, bien connue, des mécanismes de sécurité des réseaux mobiles 2G, relevant le rôle « d’algorithmes propriétaires qui sont encore utilisés comme une couche supplémentaire de sécurité par les principaux opérateurs réseau ».

Mais pour Gemalto, l’intérêt du vol de clés de chiffrement de cartes SIM 2G était limité pour les agences de renseignement : « la plupart des cartes SIM 3G en service à cette époque et dans ces pays étaient des cartes prépayées qui ont un cycle de vie très court, typiquement entre 3 et 6 mois ».

Les gouvernements ont un devoir de créer et de faire respecter un équilibre qui tienne compte des droits individuels et de la sécurité collective

Art Coviello, RSA

Et justement, la NSA et le GCHQ s’intéressaient peut-être précisément à ce type de carte plutôt qu’à celles utilisées pour des abonnements de longue durée avec des utilisateurs que l’on peut présumer bien identifiés. Quoique dans certains pays, comme l’Inde, l’octroi de cartes SIM prépayées était déjà fortement encadré en 2008, dans un effort de lutte contre le terrorisme.

Des pratiques à encadrer

Si Gemalto se veut rassurant quant à ses pratiques de sécurité, il n’en sous-estime pas moins la menace, se déclarant « bien conscient du fait que les plus éminentes agences d’espionnage, surtout lorsqu’elles font équipe, possèdent des ressources et des appuis juridiques qui dépassent de loin les moyens à la disposition des pirates et autres organisations criminelles ordinaires ».

Alors le groupe prend – prudemment – position, s’expliquant « préoccupé par le fait que des autorités d’Etat aient pu lancer de telles opérations contre des sociétés privées non coupables d’agissements suspects ».

Un discours qui ne tranche pas de celui d’Art Coviello, président exécutif de RSA, qui appelait il y a un an à la création de « normes sociétales pour guider notre monde numérique ». Et de mettre directement en cause des gouvernements qui « ont un devoir de créer et de faire respecter un équilibre […] qui tienne compte des droits individuels et de la sécurité collective. Un équilibre fondé sur un modèle de gouvernance juste et la transparence ». Et à défaut de réaction rapide des gouvernements, pour Art Coviello, c’est à l’industrie de la sécurité informatique d’apporte une réponse, « plus activement ».

Pour approfondir sur Backup