Gemalto, une confiance affichée trop grande ?
L’exercice de communication de Gemalto, en réponse aux soupçons d’intrusion sur son réseau par la NSA et le GCHQ, ne fait pas l’unanimité.
A l’occasion d’une conférence de presse, organisée ce mercredi 25 février, Gemalto a confirmé avoir été victime d’intrusion en 2010 et 2011, estimant qu’elles pourraient avoir été l’effet d’attaques conduites par le GCHQ et la NSA, comme l’affirmait précédemment The Intercept.
Mais le groupe ne convainc pas totalement. Ironique, Ryan Gallagher, journaliste chez nos confrères, raille Gemalto. Pour lui, « une ‘enquête complète’ sur une attaque soutenue par un état, en moins de six jours… c’est sûrement un record du monde ». L’activiste et chercheur en sécurité Christopher Soghoian ne le contredira pas : « Gemalto, une entreprise qui opère dans 85 pays, a trouvé comment réaliser un audit de sécurité complet de leurs systèmes en 6 jours. Remarquable ». Et Cem Paya, responsable de la sécurité chez AirBnB d’ironiser à son tour : « Et Gemalto n’a même pas fait appel à Mandiant ! Imaginez avec quelle rapidité encore plus grande ils auraient pu conduire une enquête complète » !
Le chercheur en cryptographie Matt Blaze s’étonne également : « Gemalto est étonnamment confiant de connaître exactement l’étendue de l’intrusion de la NSA/GCHQ qu’il n’a pas détectée sur le coup ». Mais là, le communiqué de presse du groupe vient le contredire : Gemalto y affirme en effet avoir repéré des activités suspectes en juin 2010, et avoir identifié un second incident au mois de juillet suivant.
Les tentatives d’intrusion ne seraient donc pas passées inaperçues. De quoi, donc, semer le doute sur le bienfondé de toutes ces remarques : si Gemalto a détecté les incidents, il est probable que ceux-ci aient fait l’objet d’enquêtes et de rapports à l’époque, sur lesquels le groupe a pu s’appuyer aujourd’hui.
Toutefois, dans les colonnes de The Intercept, Christopher Soghoian affirme le contraire : « Gemalto a découvert ce piratage vieux de cinq ans par le GCHQ lorsque The Intercept a appelé pour demander des commentaires ». Pour Matthew Green, spécialiste du chiffrement à l’université américaine John Hopkins, « il s’agit d’une enquête conçue pour produire des affirmations positives. Cela n’a rien d’une enquête ».
Quelle que soit la réalité de la situation, comme le souligne Matt Blaze, « qu’être compromis par une opération ciblée de la NSA et du GCHQ n’est pas être négligent. Mais en sous-estimer les implications l’est ». Reste à savoir l’ampleur réelle des moyens déployés par Gemalto pour effectivement auditer en profondeur son système d’information au-delà d’un exercice de communication visant manifestement à rassurer dans l’urgence, ainsi que sa capacité à détecter réellement les traces d’une infiltration réussie. L’inconnu inconnu auquel faisait référence Art Coviello lors d’une précédente édition de la RSA Conference.