Ce n’est plus seulement de l’espionnage, c’est aussi du piratage. Selon des documents transmis par Edward Snowden au site The Intercept, des quantités « sidérantes » de clés de chiffrement auraient été dérobées par les services secrets américains et britanniques à Gemalto, le numéro un mondial franco-néerlandais des cartes SIM.
Autrement dit, la NSA et son homologue britannique, le GCHQ, n’ont plus besoin aujourd’hui de « grandes oreilles », elles vont piocher les informations directement au cœur des téléphones portables.
En 2013, le monde découvre que l’opérateur téléphonique américain Verizon livre chaque jour à la demande de l’agence américaine de sécurité et du FBI, la totalité des données téléphoniques en sa possession. En 2015, nouvelles révélations d'Edward Snowden, mais cette fois Gemalto se dit surpris. Le géant mondial des cartes SIM a fait savoir dans un communiqué qu’il prenait l’affaire « très au sérieux ».
D’autres fabricants pourraient être concernés. En 2009, la NSA était capable de « traiter entre 12 et 22 millions de clefs par secondes », affirme The Intercept. La force de l’agence américaine réside dans sa capacité de stockage. Si les services du monde entier tentent de voler les données des ordinateurs et des téléphones, ici le piratage n’est même plus ciblé sur les individus jugés dangereux.
La NSA ratisse large, très large, et si ces informations sont confirmées, il ne reste plus qu'une solution : changer de carte SIM.
« L’industrie de la sécurité est à un moment de rupture, il faut repenser nos systèmes face à ce type d'attaques »
Entretien avec Eric Laubacher, expert en chiffrement et directeur innovation et sécurité au sein de la société Ercom
RFI: Selon les révélations de The Intercept, la NSA et son homologue britannique n’ont plus besoin des mises sur écoute ou de la complicité des opérateurs de téléphonie mobile pour espionner nos communications, elles piochent directement au cœur de nos cartes SIM. Est-ce que voler ces clés de chiffrages est à la portée de tout le monde ?
Eric Laubacher : Non, car ce sont des opérations très difficiles. Les agents de la NSA et du GCHQ (NDLR : Services britanniques) qui auraient réalisé ces attaques selon The Intercept, ont eu recours à des moyens très puissants. On a ici affaire à des services d’Etat qui ont dû localiser les employés qui étaient chargés de la gestion de ces secrets, pour finalement les piéger et arriver à récupérer ces clés lors de leur transit. On voit que le niveau de moyens mis en œuvre est extrêmement élevé. On peut craindre que des groupes moins puissants se lancent dans le même type d’attaques, mais là clairement ils ont bénéficié d’une infrastructure très puissante comme la capacité à intercepter les courriers électroniques de certains employés.
Les révélations d’Edward Snowden avaient permis de révéler le fait que certains opérateurs américains de téléphonie livraient leur données à la NSA. On se souvient aussi du programme PRISM d’espionnage des ordinateurs. Mais là on a l’impression de passer un cran au dessus. Après «Big brother is watching you», «NSA is listening to you» ! Avec cette affaire de piratage, les services de renseignements américains sont au cœur de nos portables. Comment s’en protéger ?
ll y a des solutions, mais là encore c’est difficile. Le niveau d’attaque que l’on constate dans cette nouvelle affaire, et qu’on a vu également dans le « rapport Kaspersky » sur le mystérieux groupe de hackers «Equation», montre un niveau de technicité plus élevé que ceux qu’on percevait jusqu’à présent. L’industrie de la sécurité est aujourd’hui à un moment de rupture, elle va devoir se renouveler pour arriver a démontrer une capacité de protections même face à ce type d’attaques. Il s’agit bien ici d’actions hostiles. Selon The Intercept, les services de la NSA et du GCHQ ont attaqué la société Gemalto, donc on est plus dans de la cadre d’accords négociés mais bien clairement d’actes hostiles.
Plus rien n’échappe aujourd’hui aux services de renseignements américains et britanniques ?
C’est difficile à démontrer, mais c’est en tous cas la posture qu’il est raisonnable d’adopter en termes d’analyse de risques. Quand on voit le faisceau d’éléments qu’on récupère depuis le début de l’affaire Edward Snowden, c’est préoccupant. La majorité des experts aujourd’hui sont très inquiets et appellent à une réaction de l’industrie pour faire cesser ce phénomène qui attaque les libertés publiques.
C’est inquiétant pour les citoyens, c’est inquiétant aussi pour les dirigeants européens. On se souvient de l’affaire du portable de la chancelière allemande Angela Merkel probablement surveillé lui aussi. L’Europe a-t-elle suffisamment pris conscience du phénomène ?
Il y a clairement une prise de conscience des risques au niveau européen. Maintenant certaines entreprises rechignent encore à déployer des moyens qui entraînent des coûts supplémentaires. Mais cela devient clairement indispensable pour les entreprises les plus sensibles et notamment les Opérateurs d’Importance Vitale (NDLR : 12 secteurs ont été définis comme d’importance vitale en France, dont la gestion de l’eau, l’alimentation, les communications, l’énergie, les affaires militaires etc). L’Agence Nationale de la Sécurité des Systèmes d’Information a ainsi pris des mesures pour contraindre ces entreprises à faire preuve d’une prudence renforcée.