Gemalto a communiqué les résultats de l'enquête « approfondie » qu'il a menée à la suite des révélations du site The Intercept indiquant que les agences de renseignement américaine et britannique (NSA et GCHQ) avaient piraté son réseau et volé des clés de chiffrement de cartes SIM potentiellement utilisées par les clients de centaines d'opérateurs mobiles dans le monde. Des intrusions ont bien eu lieu, indique d'emblée Gemalto, mais elles n'ont pas entraîné de vol massif de clés. Le fournisseur de solutions sécurisées admet être régulièrement la cible d'attaques et confirme que cela a bien été le cas au moment des infiltrations supposées de la NSA et du GCHQ.

« En 2010 et 2011, nous avons détecté deux attaques particulièrement sophistiquées qui pourraient être reliées à cette opération », indique Gemalto. A l'époque, la société n'avait pas pu identifier les auteurs de ces attaques, qualifiées de graves, mais elle pense maintenant qu'elles pourraient effectivement être liées à l'opération de la NSA et du GCHQ. Toutefois, le fournisseur affirme qu'elles n'ont touché que des parties externes de ses réseaux, en fait les réseaux bureautiques en contact avec le monde extérieur, explique-t-il. Or, ce n'est pas là que sont stockées les clés de chiffrement et les données clients.

Pas d'attaque sur les parties internes des réseaux

En conclusion, Gemalto indique que les intrusions qu'il a subies en 2010 et 2011 n'ont pas pu entraîner un vol massif de clés de chiffrement de cartes SIM. Il n'a par ailleurs rien détecté d'autre, ni dans les parties internes des réseaux qui gèrent son activité SIM et qui sont isolées du monde extérieur, souligne-t-il, ni dans les parties du réseau sécurisé qui gèrent ses autres produits, en particulier les cartes bancaires, cartes d'identité et passeports électroniques.

Les tentatives de vol des clés ont donc porté plutôt sur leur interception lors des phases d'échange entre Gemalto et ses clients, opérateurs de télécommunications. Sur ce terrain, le fournisseur explique qu'il a déployé dès 2010 un système d'échange sécurisé avec ses clients, mais que celui-ci n'était pas généralisé et que certains opérateurs ne souhaitaient pas l'utiliser. Des données ont donc pu être volées par cette méthode. Mais Gemalto ajoute qu'elles ne sont exploitables que dans les réseaux de 2ème génération. « Les réseaux 3G et 4G ne sont pas vulnérables à ce type d'attaque », indique-t-il.  Les documents publiés par The Intercept indiquent parmi les cibles des opérateurs en Asie (Afghanistan, Inde, Iran, Pakistan, Tadjikistan), en Europe (Serbie, Islande) et en Afrique (Yémen, Somalie).

Les investigations de Gemalto l'ont par ailleurs conduit à constater qu'il n'était pas concerné par certaines informations. Il n'a par exemple pas vendu de cartes SIM à plusieurs sociétés citées par The Intercept et notamment pas à l'opérateur somalien qui aurait subi le vol de 300 000 clés de chiffrement.