Article.
Ne
plus faire confiance aux cartes SIM ?
Jean-Paul Baquiast 21/02/2015
Dans
la présentation d'un article de Thierry
Berthier décrivant l'espionnage auquel
s'était livré l'organisation
dite Armée électronique syrienne
1) nous recommandions que l'arbre syrien ne
nous cache pas la forêt de la NSA américaine,
alliée à son homologue le CGHQ
britannique lesquels nous espionnent depuis
des années dans une complète
impunité et dans une ignorance complète
de notre part.
Un document qui vient d'être publié
par le journal de Edwards Snowden et de Glenn
Greenwald, The Intercept (2) révèle
un vol de données privées infiniment
plus systématique que ceux connus jusqu'à
présent. Il s'agit de la façon
dont des agents de la NSA et le CGHQ appartenant
à une organisation dite le Mobile
Handset Exploitation Team (MHET) ont pénétré
depuis 2010 les réseaux internes des
fabricants de cartes SIM afin d'en dérober
les clefs d'encryption avant que les téléphones
ou autres appareils portables utilisant de
telles cartes ne soient mis sur le marché.
Les cartes SIM (Subscriber identity module)
enregistrent les données d'identification
des utilisateurs de mobiles. Elles contiennent
des clés d'encryption ou clés
de cryptage qui protège les données
personnelles vitales concernant l'utilisateur,
transmises depuis son portable jusqu'à
l'opérateur sans fil. En obtenant de
telles clefs, les agences de renseignements
peuvent s'affranchir des barrières
de sécurité mise en place par
l'opérateur, afin d'accéder
au contenu de toutes les communications de
l'utilisateur, SMS et emails notamment. 3)
Les documents fournis par Snowden montrent
comment les agents du MHET ont procédé.
Ils ont implanté des cyber-espions
ou malware dans les réseaux internes
des fabricants de cartes, notamment les « serveurs
d'authentification » afin d'obtenir
les données concernant les processus
et les contenus de cryptage.
En trois mois, des millions de clefs ont été
recueillies et communiquées à
la NSA. Celle-ci, avec ses puissants moyens
de calcul, a la possibilité de traiter
des millions de clefs par seconde pour accéder
aux contenus des messages jugés intéressants.
La société française
Gemalto, leader mondial dans ce secteur, a
vu des centaines de milliers de clef dérobés
par un programme du GCHQ dit DAPINO Gamma.
D'autres fabricants de cartes ont été
infiltrés de cette façon, notamment
le chinois Huawei.
L'alibi
chinois
Le prétexte donné par Barack
Obama, qui s'est vu posé des questions
gênantes à ce sujet, est que
la Chine se livrait à un cyberespionnage
systématique, et que les données
des citoyens ordinaires de par le monde, ceux
considérés comme « non
suspects », n'étaient pas
observées. Mais les spécialistes
de la questions savent qu'il n'en est rien.
Ainsi Matthew Green, expert en cryptologie
au Johns Hopkins Information Security Institute,
considère que désormais la sécurité
d'aucun appareil portable, quel qu'en soit
l'utilisateur, ne peut être garantie.
Ceci d'autant plus que, comme l'observe The
Intercept, le processus d'espionnage décrit
par les documents communiqués par Greenwald
datait de 2010. Depuis, les vols de données
d'encryptage se sont certainement systématisés.
N'importe quelle agence de renseignement habilité
aux Etats-Unis peut d'en servir sans aucune
autorisation judiciaire pour explorer les
communications de toutes personnes susceptibles
d'intéresser ces agences.
Sans mentionner, ajoutons le pour notre part,
les usages privés faits de tels clefs
par des employés indélicats,visant
par exemple à espionner des particuliers
ou entreprises les intéressant. Selon
les spécialistes, en France même,
nous nous trouvons en tant qu'utilisateurs
de mobiles devant des risques de vols de données
bien supérieurs à ceux auxquels
pourraient procéder les agences chinoises
ou russes.
Le directeur du FBI James Comey a lui-même
convenu que la course à des techniques
de cryptage de plus en plus sophistiquées,
permettant d'échapper aux méthodes
de la NSA et du CGHQ, compliquait la tâche
des agences de renseignement. Il souhaiterait
que la confiance revienne dans le public des
utilisateurs. Autant dire à un gibier
décimé par des chasseurs de
refaire confiance à ces mêmes
chasseurs, au prétexte qu'ils auraient
cessé de perfectionner leurs armes.
Faudrait-il qu'en tant qu'utilisateurs parfaitement
inoffensifs de cartes SIM, nous renoncions
à y faire appel? Sans doute pas. Elles
peuvent assurer un minimum de sécurité
au regard des actions de petits malfrats artisanaux.
Mais, notamment dans les administrations et
entreprises faisant transiter des données
plus sensibles, il faudra évidemment
généraliser des méthodes
plus sophistiquées d'encryptage. Sans
se faire d'illusions. De futurs fuites provenant
de courageux lanceurs d'alerte, à l'avenir,
nous montreront que les espions auront à
leur tout décrypté ces méthodes
de cryptage.
Notes
1) Voir
notre article
2) The Intercept.
Article
3) Wikipedia
Encryption
Retour
au sommaire
