Après le scandale du piratage par la NSA et le GCHQ des systèmes internes du groupe Gemalto, l'entreprise franco-néerlandaise a mené son enquête et s'est livrée mercredi 25 février à un douloureux exercice d'explications et d'excuses.
Jeux d'espions
Gemalto est une entreprise spécialisée dans la sécurité, et notamment le premier fabricant mondial de cartes SIM, fournissant plus de 450 opérateurs mobiles. Le journal anglais The Intercept avait révélé il y a une semaine, via des documents donnés par Edward Snowden, que Gemalto avait été victimes d'attaques de la part du Government Communications Headquarters ( GCHQ), les services de renseignements électroniques du gouvernement britannique. Ces attaques auraient été fait pour le compte de la NSA. Gemalto fourni plus de 2 milliards de cartes SIM par an. Ce piratage avait comme objectif de voler les clés de chiffrement des cartes SIM.
Le vol des clés de chiffrement permet aux services secrets d'intercepter les communications mobiles de manière invisible, sans avoir besoin de demander l'assistance des opérateurs ou des gouvernements. De l'espionnage de la vie privée pur et simple, et un comble pour une entreprise dont le motto (slogan) est « security to be free » ( la sécurité pour être libre).
Excuses et explications
Devant l'ampleur de ces accusations et du piratage, Gemalto a fait une enquête interne dont il a rendu les conclusions avant hier, au Pavillon Gabriel à Paris… qui se trouve juste devant l'ambassade des Etats-Unis et de l'Angleterre. L'entreprise a confirmé l'existence de ces attaques, qui se seraient déroulées entre juin et juillet 2010. Mais selon eux, le vol de clé ne serait pas massif. Au contraire, il ne s'agirait que de « cas exceptionnels », sans qu'ils soient capables de les chiffrer. Et ces rares clés volées ne seraient exploitables que sur les réseaux 2g. Un résultat qui va à l'encontre des dires de The Intercept, qui parlait de « quantités sidérantes » de vol de clé.
Des explications qui ont semble t-il rassurés les marchés. La Société Générale s'est même fendue d'un communiqué, considérant que « Cette attaque semble nettement moins grave qu'estimé dans un premier temps et nous ne pensons pas que l'incident aura un impact tangible sur les perspectives à long terme de Gemalto ». Le soir même, le cours avait clôturé en hausse de 2,79 %, à 71,35 euros.
Si Gemalto cherchait à rassurer les gens et à faire du damage control, plusieurs experts Outre-Atlantique n'ont guère été convaincus par leurs conclusions. Entre autres, à cause d'une enquête faite en un temps record, qui laisse planer des doutes sur la profondeur et l'efficacité réelle de cette enquête.
Pour beaucoup, Gemalto cherche avant tout à classer l'histoire le plus vite possible et à passer à autre chose, avant que sa réputation ne soit définitivement détruite. Les révélations de Intercept avait fait plonger le cours de 6%. D'ailleurs, Gemalto a renoncé à poursuivre le GCHQ et la NSA, car selon Olivier Piou « Les faits sont difficiles à prouver au sens juridique et attaquer un Etat est coûteux, long et assez aléatoire. La conclusion est que, non, on ne va pas prendre d'action juridique. Ce serait une perte de temps ».
Gemalto contre NSA, une lutte inégale ?
Le problème vient surtout du fait que le combat n'est pas équilibré. Gemalto est capable de lutter contre des hackers isolés, mais la NSA possède des moyens et des capacités à des années lumières de celles des entreprises. Établir un plan de lutte et de défense contre des attaques émanent de services secret paraît comme une tâche absolument impossible. Même si Gemalto avait fait une enquête approfondie et sans faille, elle aurait tout à fait pu passer à côté de programmes espions indétectables et de dernière génération NSA. Et si le leader du marché n'est pas de taille, comment les autres entreprises, comme l'allemand Giesecke & Devrient, victime d'une opération similaire, peuvent espérer lutter ?
Ces attaques posent aussi un problème du point de vue diplomatique. Après le scandale des écoutes américaines, qui allaient jusqu'à espionner les conversations privées des dirigeants européens, ces révélations tombent au plus mal. Comment monter une cybersécurité européenne quand un des Etats-Membres (ici, l'Angleterre) tire dans les pattes de ses alliés pour le compte des USA ? Dans le cas présent, Gemalto fourni des cartes SIM à plus de 80 gouvernements (dont le gouvernement français). Avec cette attaque, sans doute bien plus complète et réussie que ce que Gemalto peut et veut admettre, la NSA peut librement écouter les conversations de nos gouvernements. Et la seule riposte possible, c'est une condamnation dans les formes, car l'Europe n'a pas les moyens, mais pire, pas la volonté, d'essayer de lutter. Un manque de volonté qu'on retrouve aussi chez les consommateurs…
source: silicon.fr
- Partager l'article :
