Gemalto avoue avoir été espionné, mais dément tout piratage de ses cartes SIM

le 25/02/2015, par Didier Barathon, Sécurité, 753 mots

Créée en France, à Gemenos près de Marseille, sous le nom de Gemplus, le spécialiste mondial de la carte à puce, Gemalto, a son siège à Amsterdam. Son président non-exécutif Alex Mandl est mis en cause pour être un ancien administrateur du fonds d'investissement In-Q-Tel, créé par les agences de renseignement américaines, CIA et NSA.

Gemalto avoue avoir été espionné, mais dément tout piratage de ses cartes SIM

Gemalto est, malgré elle, à nouveau sous le feu des projecteurs. Cette fois, il ne s'agit pas des investissements des fonds créés par les services secrets américains, mais d'une tentative d'espionnage menée par la NSA en 2010. L'affaire a été révélée par le site américain The Intercept, jeudi dernier. Ce matin, les dirigeants de Gemalto ont confirmé cet espionnage, mais sans préciser le nom des instigateurs.

Une réaction obligée, l'affaire a beau remonter à 2010, elle provoque des tempêtes. Médiatique d'abord, le sujet est abordé dans le monde entier, par tous les médias. Boursier, l'action Gemalto chutait de 8% au lendemain des révélations. Commercialement, Olivier Piou le directeur général (*) a tenté de rassurer à plusieurs reprises, invoquant la fidélité de ses clients et leurs nombreux messages d'encouragements. Il a aussi avoué, benoîtement, que plusieurs dirigeants du groupe sont rentrés de leurs vacances au ski pour écoper le sinistre.

Un espionnage ancien et limité

L'argumentaire du « dg » de Gemalto tient en plusieurs points. D'abord, l'espionnage est « probable » un mot diplomatique qui vaut affirmation. Mais, corrige aussitôt Olivier Piou, cet espionnage est limité. Gemalto compte plusieurs réseaux internes dont l'un nommé « office » gère les communications internes au personnel et celles entre ce personnel et les clients opérateurs. Selon le dg de Gemalto, l'affaire d'espionnage visait à intercepter et pirater ces messageries pour s'emparer des clés de chiffrement des cartes SIM commercialisés par Gemalto auprès des opérateurs. La tentative aurait échoué, elle ne concernait, autre argument, que les cartes SIM 2G des anciens réseaux, effectivement plus perméables, que les nouveaux réseaux 3 et 4G et que leurs cartes SIM. Et les systèmes de défense de la société ont fonctionné, ne serait-ce que par la prudence du personnel qui n'échange pas sans précautions sur  des informations sensibles.

Enfin, Gemalto n'a vu aucun de ses produits piratés. La société est comme toute entreprise de cette taille, et surtout dans les technologies, l'objet de tentatives d'attaques régulières. Elle sait évidemment se défendre. Voilà pour les explications officielles. Au passage, Gemalto relève quelques erreurs dans l'enquête de The Intercept, comme l'implantation  de  centres  de Gemalto dans des villes où elle en est dépourvus  (Tokyo par exemple) où le nom de clients qui ne le sont pas. Un opérateur saoudien n'est pas client de Gemalto, alors que le site américain affirme que 300 0000 cartes SIM piratés lui ont été livrées par la société française.

Le mal est fait

L'essentiel est ailleurs. Gemalto  a beau jeu de souligner l'antériorité des attaques qui remontent à 2010 et 2011. Une première attaque sur le réseau « office » une deuxième avec de faux e-mails tentait d'implanter un code malveillant. D'autres attaques, plus ou moins graves, ont-elles eu lieu depuis ? Quelles sont les conséquences si une attaque réussit ? Gemalto est évidemment contraint au silence et à seulement expliquer aujourd'hui des attaques qui remontent à cinq années en arrière et sous la pression des révélations d'un site web. Le mal est fait. En termes d'image, Gemalto est sur la défensive alors que l'entreprise fournit des puces pour les cartes bancaires, les téléphones et différents systèmes d'authentification.

Surtout, elle est en lice pour équiper les grands constructeurs de smartphones de puces pour effectuer des paiements par le terminal mobile. L'affaire tombe au plus mauvais moment surtout aux Etats-Unis où Apple est en passe de choisir ses fournisseurs. Gemalto a donc intérêt à démontrer que le piratage a échoué et que ce type d'effraction est ancien. En cas de succès, ce serait évidemment un dommage irréparable, les pirates pouvant accéder aux communications des abonnés mais également aux systèmes d'information des opérateurs, la facturation en particulier. Derrière l'affaire Gemalto, c'est tous les opérateurs de téléphone mobiles qui tremblent.

Dans ce contexte, on ne peut que s'étonner du silence assourdissant des dirigeants français. Née en France sur une technologie inventée en France, Gemalto est détenue par des capitaux internationaux, en particulier le fonds Capital Group et une de ses filiales, pour presque 30%, La BPI a un peu plus de 8% depuis 2010, après une tentative désespérée de garder un oeil sur l'évolution de cette entreprise, dirigée par des capitaux américains, présidée par un américain et espionné par la NSA et GCHQ, son équivalent anglais.

(*) Olivier Piou est directeur général (CEO) exécutif, Alex Mandl est président (chairman) non exécutif.

Cisco alerte sur des failles dans IOS XE

Cisco a émis une alerte concernant une vulnérabilité critique au niveau de l'interface utilisateur web de son système d'exploitation d'interconnexion réseau IOS XE. Aucun patch n'est pour l'instant disponible...

le 17/10/2023, par Dominique Filippone, 506 mots

Emergency Responder et d'autres produits de Cisco vulnérables

Les dernières vulnérabilités corrigées par Cisco pourraient donner aux attaquants un accès root, permettre un déni de service ou une escalade des privilèges. En fin de semaine dernière, Cisco a corrigé des...

le 10/10/2023, par Lucian Constantin, IDG NS (adaptation Jean Elyan), 593 mots

IBM lance un service de connectivité multicloud basé sur le DNS

Le service NS1 Connect proposé par IBM peut prendre des décisions dynamiques sur l'endroit où envoyer des requêtes Internet pour assurer les meilleures connexions dans des environnements réseau complexes et...

le 27/09/2023, par Michael Cooney, IDG NS (adapté par Jean Elyan), 989 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...