Des
espions américains et britanniques ont piraté les réseaux internes du plus
gros fabricant de cartes Sim du monde, pour lui voler les clés de cryptage
utilisées pour protéger la confidentialité des communications mobiles au
travers du globe, selon des documents classés top-secret fournis à The
Intercept par Edward Snowden.
L’opération
a été menée par un groupe d’employés de la NSA et de leurs homologues
britanniques du Governemnt Communications Headquarters, ou CGHQ. L’attaque,
détaillée dans un document secret du GCHQ datant de 2010, a offert aux
agences de surveillance le potentiel de suivre dans le plus grand secret une
majorité des communications cellulaires globales, et de collecter signatures
vocales et d’autres données.
La
société prise pour cible par les agences de surveillance, Gemalto, est une
firme multinationale implantée aux Pays-Bas, qui fabrique les cartes Sim
utilisées dans les nouveaux smartphones et dans les cartes de crédit nouvelle
génération. Comptent parmi ses clients AT&T, T-Mobile, Verizon, Sprint et
450 fournisseurs de réseau sans fil. La firme opère dans 85 pays, et dispose
de plus de 40 usines. L’un de ses trois sièges globaux se trouve à Austin, au
Texas, et l’une de ses plus grosses usines en Pennsylvanie.
Gemalto
produit un total de 2 milliards de cartes Sim par an. Sa devise :
« Sécurité d’être libre ».
Grâce aux
clés de cryptage qu’elles ont dérobé, les agences de surveillance peuvent
suivre des communications mobiles sans demander ou recevoir l’accord
préalable de sociétés de télécommunication et de gouvernements étrangers.
Posséder ces clés leur évite également d’avoir à demander de mandat ou
d’avoir recours à une table d’écoute. L’interception des communications ne
laisse également aucune trace sur le réseau du fournisseur. Ces clés
permettent également aux agences de surveillance de débloquer toute communication
cryptée précédemment interceptée.
Dans le
cadre de l’opération contre Gemalto, les espions du GCHQ – qui soutient la
NSA – ont récolté les communications privées d’ingénieurs et autres employés de
la société dans de nombreux pays.
Les
défenseurs du droit à la confidentialité et les experts en sécurité sont
d’avis que ce vol de clés de cryptage n’est pas différent du vol de son
trousseau de clés par un voleur au surintendant responsable des appartements
d’un bâtiment. « Une fois que vous disposez des clés nécessaires, le
décryptage devient une opération triviale », explique Christopher
Soghoian, technologiste principal de l’Union américaine pour les libertés
civiles. « Cette nouvelle devrait choquer la communauté de la
sécurité ».
Selon un
document secret du GCHQ, l’agence de surveillance
britannique aurait pénétré les réseaux internes de Gemalto et installé des
programmes malveillants sur de nombreux ordinateurs pour en obtenir l’accès.
Nous « pensons que nous avons le contrôle de l’ensemble du
réseau », explique le document.
« Ce
n’est pas croyable. Pas croyable », s’apitoie Gerard Schouw, membre du
Parlement hollandais, face à cette nouvelle. Schouw, porte-parole du D66, le
plus gros parti de l’opposition hollandais, a expliqué à The Intercept que
« nous ne voulons pas voir les services secrets d’autres pays faire de
telles choses ».
Toutes
les communications mobiles dépendent de la carte Sim, qui récolte et conserve
les clés de cryptage générées par les sociétés telles que Gemalto. Les cartes
Sim peuvent être utilisées pour enregistrer une liste de contacts, des
messages et d’autres données importantes. Dans certains pays, elles sont même
utilisées pour transférer de l’argent. Comme l’a rapporté
The Intercept l’année dernière, posséder la mauvaise carte Sim peut faire de
vous la cible d’une attaque par drone.
Les
cartes Sim n’ont pas été inventées pour protéger les communications
individuelles – elles ont été imaginées à des fins bien plus simples :
s’assurer une facturation correcte et éviter la fraude, qui était
omniprésente alors que les téléphones portables n’en étaient encore qu’à
leurs premiers jours.
L’un des
créateurs du protocole de cryptage utilisé aujourd’hui pour sécuriser les
emails, Adi Shamir, est connu pour avoir déclaré ceci : « le
cryptage est typiquement contourné, et non pénétré ».En d’autres termes,
il est bien plus facile d’ouvrir une porte verrouillée avec une clé que par
la force. Bien que la NSA et le GCHQ disposent de ressources substantielles
dédiées à briser les systèmes de cryptage, ce n’est pas là le seul moyen – ni
le plus efficace – dont ils disposent pour obtenir les données qu’ils
recherchent. « La NSA emploie plus de mathématiciens que n’importe
quelle autre entité aux Etats-Unis », a ajouté Soghoian. « Mais les
pirates de la NSA sont bien plus occupés que ses mathématiciens ».
Les
sociétés de « personnalisation » de cartes Sim telles que Gemalto
envoient des centaines de milliers de cartes Sim à la fois à des opérateurs
de téléphonie mobile tout autour du globe. Les données de livraisons
internationales de Gemalto obtenues par The Intercept montrent qu’en 2010,
Gemalto a envoyé en une seule fois 450.000 cartes Sim depuis son usine
mexicaine à la société allemande Deutsche Telekom.
Afin que
ces cartes fonctionnent et que les communications téléphoniques soient
sécurisées, Gemalto a également besoin de fournir aux sociétés de téléphonie
mobile un fichier contenant la clé de cryptage de chaque nouvelle carte Sim.
Ces fichiers peuvent être envoyés via FedEx, DHL, UPS ou n’importe quel autre
service de livraison. Ils peuvent également être envoyés par email ou par
protocole de transfert de fichiers – qui permet l’envoi de fichiers par
internet.
C’est lorsqu’une clé maître est générée par Gemalto ou une autre société de
personnalisation de cartes Sim, et avant qu’elle soit envoyée aux sociétés de
téléphonie mobile, qu’elle est le plus susceptible d’être interceptée.
« Les cartes Sim de nombreuses sociétés sont fabriquées au même
endroit ». Dans le cas de Gemalto, le GCHQ a touché le jackpot, puisque
la firme produit les cartes Sim de centaines de fournisseurs, dont de grosses
sociétés américaines et européennes.
Les
cartes Sim de Gemalto sont utilisées en Asie par le chinois Unicom, le
japonais NTT et le taïwanais Chungwa Telecom, ainsi que par de nombreux
fournisseurs de réseaux sans fil au travers de l’Afrique et du Proche-Orient.
La technologie de sécurité de la firme est utilisée par plus de 3.000
institutions financières et 80 organisations gouvernementales. Visa,
Mastercard, American Express, JP Morgan Chase et Barclays comptent parmi ses
clients. Elle fournit également des puces électroniques destinées aux
voitures de luxe telles que celles fabriquées par Audi et BMW.
En 2012,
Gemalto a décroché un contrat de 175 millions de dollars avec le gouvernement
américain pour produire les couvertures de passeports électroniques, qui
contiennent des puces électroniques et des antennes qui peuvent être
utilisées afin de mieux identifier les voyageurs.
Les
défenseurs de la confidentialité et les experts en sécurité pensent qu’il
faudrait des milliards de dollars, des pressions politiques significatives et
plusieurs années pour combler les failles du système actuel de téléphonie
mobile que la NSA, le GCHQ et d’autres agences exploitent régulièrement.
L’un des
problèmes actuels en termes de protection des communications mobiles est que
les fournisseurs de téléphones mobiles et de réseaux sans fil ne sont pas
compatibles avec l’usage de Perfect Forward Security (PFS), une forme de
cryptage destinée à limiter les dommages causés par le vol ou la publication
de clés de cryptage. Ce système, qui est aujourd’hui intégré aux navigateurs
web modernes et utilisé par certains sites comme Google et Twitter, génère
une clé de cryptage unique pour chaque communication ou message, qui est
ensuite détruite. Plutôt que d’utiliser la même clé pour protéger plusieurs
années de données, comme le font les cartes Sim, une nouvelle clé peut être
générée toutes les minutes, toutes les heures ou tous les jours.
La seule
manière qu’ont les individus de se protéger face à la surveillance est
d’utiliser des programmes de communication sécurisés, plutôt que de reposer
sur la sécurité offerte par les cartes Sim. Ces programmes incluent les
emails et d’autres systèmes qui utilisent la technologie Transport Layer
Security (TLS), le mécanisme de sécurisation du protocole web HTTPS. Les
boîtes email offertes par les téléphones Android et les iPhones sont
compatibles avec la technologie TLS, comme d’autres telles que celles de
Google et Yahoo.
« Il
nous faut cesser de croire que les sociétés de téléphonie mobile nous
fournissent une forme sécurisée de communications et d’échanges de messages texte »,
a ajouté Soghoian.