Le site The Intercept a révélé que les services secrets britanniques (le GCHQ), aidés par les Américains (la NSA) avaient piraté les comptes email et Facebook de salariés de Gemalto, le leader mondial coté au CAC40 de la fabrication de cartes SIM. Ces piratages ont permis aux agents britanniques et américains de mettre la main sur des clés de chiffrement de cartes SIM pour téléphones mobiles.
Voici quelques clés pour comprendre ce piratage de grande ampleur :
- Qu’est-ce qu’une carte SIM ?
La carte SIM se présente sous la forme d’un petit rectangle de plastique comportant une puce électronique. C’est cette puce qui permet à l’opérateur téléphonique de faire le lien entre un appareil téléphonique, un numéro et ses données (appels, SMS…). Historiquement, leur sécurité n’était pas très performante : aux débuts de la téléphonie mobile grand public, les cartes SIM conçues pour fonctionner sur les réseaux 2G utilisaient des protocoles mal protégés, qui ont été remplacés par des protocoles plus performants pour les réseaux 3G et 4G. Mais la sécurité des communications n’a jamais été la « mission » des cartes SIM : leurs utilisateurs, à savoir les opérateurs téléphoniques, cherchaient surtout un outil qui leur permettrait de facturer les communications avec justesse et d’éviter la fraude.
- C’est quoi, une « clé de chiffrement » de carte SIM ?
Cette « clé » est une série de caractères qui permet de confirmer l’identité du téléphone sur le réseau. En résumé, chaque carte SIM dispose de sa propre clé, liée à une autre clé en possession de l’opérateur téléphonique. Lorsque le mobile tente de se connecter sur le réseau, l’opérateur peut vérifier que le téléphone est bien ce qu’il prétend être, et établir une communication chiffrée. Intercepter cette communication n’est pas très difficile, mais déchiffrer le contenu de celle-ci sans la clé est complexe et demande d’importantes ressources informatiques.
- Quel est le rôle de Gemalto dans cette affaire ?
La quasi-totalité des opérateurs téléphoniques ne produisent pas eux-mêmes leurs cartes SIM. Il est beaucoup plus économique de sous-traiter cette fabrication, qui nécessite des usines équipées et un certain savoir-faire, à une entreprise spécialisée. Gemalto, société de droit néerlandais mais dont les équipes internationales sont basées à Paris, et qui est cotée au CAC40, est justement le leader mondial de la fabrication de cartes SIM. La société est spécialisée dans les puces sécurisées, et en conçoit également pour des cartes bancaires ou des passeports. Gemalto est la principale victime du piratage, qui a visé certains de ses employés pour dérober des clés de chiffrement. Les documents publiés par The Intercept montrent que certains de ses concurrents ont également été visés par les services britanniques et américains, dont l’allemand Giesecke.
- Pourquoi la NSA et le GCHQ ont-ils voulu voler ces clés de chiffrement ?
Une fois ces clés en leur possession, les agences de renseignement peuvent mettre en place de manière très discrète des surveillances très poussées. En mettant en place leurs propres antennes de réception mobile, ces agences peuvent alors « piéger » l’utilisateur d’un téléphone, et lire « en clair » ses conversations et messages.
Autre avantage, cette méthode laisse très peu de traces et est difficilement détectable, pour l’utilisateur comme pour l’opérateur. Elle est donc adaptée à des surveillances de masse.
- Peut-on se protéger contre la surveillance de son téléphone si un intrus détient cette clé de chiffrement ?
Oui en utilisant un deuxième système de chiffrement – messagerie sécurisée, par exemple – : l’intrus ne pourra plus espionner les conversations dans cette application.
- Que disent le GCHQ et la NSA ?
Comme d’habitude, les deux agences de renseignement n’ont pas commenté les révélations de The Intercept. La NSA a simplement refusé de répondre aux questions du site, tandis que le GCHQ se bornait à affirmer que ses opérations sont conduites « dans le strict respect de la loi et des procédures », avec des mécanismes de contrôle « assurant qu’elles sont menées de manière autorisée, nécessaire et proportionnée ».
- Quelles sont les réactions politiques ?
La réponse du GCHQ a fait bondir l’eurodéputée néerlandaise Sophie In’t Veld (libérale de gauche), membre de la commission des libertés publiques et très critique des méthodes de surveillance de la NSA. « Si c’est ‘dans le strict cadre de la loi’, on se demande ce qui peut bien être en dehors de la loi », écrivait-elle sur son compte Twitter.
En France, ni l’Elysée, ni aucun des ministères sollicités par Le Monde – ministère des finances, ministère de l’intérieur – n’ont souhaité réagir à ces révélations.
- Que disent les opérateurs téléphoniques ?
Des réunions de crise ont eu lieu, vendredi, chez la plupart des grands opérateurs téléphoniques, afin de tenter de déterminer les implications techniques, commerciales et légales du piratage dont a été victime Gemalto. Les opérateurs attendent surtout les conclusions de l’audit interne qu’a lancé le constructeur.
Deutsche Telekom, qui utilise des cartes SIM Gemalto mais y ajoute un deuxième niveau de chiffrement, a affirmé au New York Times qu’à ce stade il pensait que les conversations de ses clients restaient protégées. Les clés de chiffrement étant gravées « en dur » dans les cartes SIM, et non modifiable à distance, certains opérateurs pourraient demander un rappel massif.
- Y aura-t-il des suites juridiques à cette affaire ?
Gemalto, qui a annoncé vendredi matin avoir lancé un vaste audit interne pour confirmer ou infirmer les révélations de The Intercept et recherche d’éventuelles failles de sécurité, n’a pas annoncé vouloir porter plainte.
En revanche, la Commission européenne pourrait lancer une enquête – Sophie In’t Veld a déposé une question parlementaire en ce sens.
Jan Philip Albrecht, négotiateur en chef pour la future loi du Parlement européen sur la protection des données, et membre comme Mme In’t Veld du parti de gauche D66 (opposition), a également demandé au ministère de l’intérieur néerlandais d’ouvrir une enquête. En droit néerlandais, une intrusion informatique menée par les services d’un autre pays ne peut se faire qu’avec l’accord exprès du ministère de l’intérieur.
Source: Le Monde
_____________________________________________________________________________
Allain Jules vient de nous envoyer un tout petit texte…d’humour. Son bras est donc libéré de la perfusion qui ne lui permettait que d’avoir une seule main opérationnelle…
Allain Jules 
petit colibri
Fév 22, 2015 @ 20:32
ce président ukrainien est incorrigible;;;il comprend mais ne veut pas admettre,finalement c’est lui qu’il faut bombarder,,,,et les autres pays pologne et la lituanie,,ils veulent aussi que la russie s’occupe de leur petite fesse,,,,petit à petit,,pays après pays la russie reprendra tous ses anciens pays de l’ex urss,,,,,,,
J’aimeJ’aime
Vénus
Fév 23, 2015 @ 1:12
Cette histoire d’espionnage est très grave, imaginez dans une société qui est en train de trouver un matériel nouveau et veut le vendre, tout peut être intercepté et les américains puisqu’il s’agit d’eaux peuvent intercepter toutes les conversations, donc faire tout ce qui est en leur pouvoir pour faire disparaitre le matériel ou en inventer un plus abordable enfin toutes les combinaisons sont possibles.
Comment voulez vous que les pays européens puissent inventer quelque chose ?
C’est absolument lamentable. Nos petites conversations privées c’est déjà un viol de notre intimité, le viol des conversations entre politiques peut carrément induire le chantage et l’écoute des conversations dans les entreprises c’est carrément la main-mise, ou du moins l’oreille, sur les sociétés européennes, comment même pouvoir les mettre en faillite pour favoriser leurs sociétés.
Quelle décadence et notre gouvernement ne se rebelle pas, il vend carrément le pays aux yankies.
J’aimeJ’aime
Lucas
Fév 22, 2015 @ 13:34
Perms Estelle hahaha
Bon rétablissement Alain Jules
J’aimeJ’aime
mecano
Fév 22, 2015 @ 13:26
Selon un arrêt de la Cour de Cassation, l’ensemble des messages envoyés via les portables fournis par l’entreprise sont « présumés avoir un caractère professionnel ». Ceux-ci pourront les consulter « pour des motifs légitimes ».
C’est une décision dont la jurisprudence va changer la donne pour de nombreux salariés. Dans un arrêt rendu mardi 10 février , la Cour de Cassation qui statuait sur un litige opposant les sociétés de courtage financier Newedge – filiale de la Société Générale – et GFI Securities, a considéré que « les messages écrits (« short message service » ou SMS) envoyés ou reçus par le salarié au moyen du téléphone mis à sa disposition par l’employeur pour les besoins de son travail sont présumés avoir un caractère professionnel, en sorte que l’employeur est en droit de les consulter en dehors de la présence de l’intéressé, sauf s’ils sont identifiés comme étant personnels « .
En clair, si les salariés ne portent pas la mention écrite « personnel » ou « perso » en début de SMS, leur employeur aura un droit de regard sur ceux-ci. Tous ces messages, considérés donc comme à caractère professionnel, peuvent ainsi être consultés et même produits devant la justice « pour des motifs légitimes » – insultes, soupçons de fraude ou violation de clause de confidentialité -, ajoute la haute juridiction qui considère que cela ne contrevient nullement au principe de secret des affaires et de secret professionnel.
Décision semblable sur les mails
« L’utilisation de tels messages par l’employeur ne peut être assimilée à l’enregistrement d’une communication téléphonique privée effectué à l’insu de l’auteur des propos invoqués », tranche ainsi la Cour de Cassation. Une décision semblable à celle qui a été prise il y a deux ans par la haute juridiction sur les emails à caractère privé envoyés via la messagerie professionnelle.
Newedge, elle, est sortie triomphante dans son affaire l’opposant au broker américain GFI Securities. La filiale de la Société Générale avait produit comme preuves des SMS échangés entre ses salariés montrant qu’ils avaient été débauchés par son concurrent. Des preuves irrecevables, avançait la défense de GFI Securities. La Cour de Cassation en a décidé autrement.
aurelie_abadie
J’aimeJ’aime
mecano
Fév 22, 2015 @ 13:20
J’aimeJ’aime
mecano
Fév 22, 2015 @ 13:19
Source : RIA Novosti
Le président ukrainien Petro Porochenko a promulgué vendredi une loi ratifiant la création d’une unité militaire conjointe avec la Pologne et la Lituanie. Cette unité est appelée à agir sur mandat du Conseil de Sécurité des Nation Unies (ONU).
«L’accord établit une unité militaire conjointe de l’Ukraine, de la Pologne et de la Lituanie et détermine le but général, les principes d’action, le processus de décision, les garanties de sécurité et d’autres aspect relatifs à l’activité de la brigade», lit-on sur le site officiel du président ukrainien.
La brigade conjointe se veut une force de maintien de la paix responsable devant l’ONU et de l’Union Européenne (UE). Des forces d’autres Etats peuvent la rejoindre sur invitation des trois Etats fondateurs.
Le contingent ukrainien compte 545 soldats d’après le ministère ukrainien de la Défense. La Pologne et la Lituanie fourniront jusqu’à 3 800 et 350 militaires respectivement. Les contingents de chaque pays seront financés séparément par chaque gouvernement. Le commandement aura son siège à Lublin, à l’est de la Pologne.
Les ministères de la Défense de trois pays ont finalisé l’accord sur la formation de cette unité en septembre dernier à Varsovie, les premiers exercices militaires conjoints sont prévus dans le courant de l’année 2015. Le parlement ukrainien a ratifié l’accord le 4 février.
L’idée de créer un bataillon conjoint entre l’Ukraine, la Pologne et la Lituanie a déjà fait l’objet d’un accord de principe en 2007.
Un an après, un plan encore plus ambitieux de rassembler toute une brigade avec plusieurs régiments de chaque pays a été avancé.
J’aimeJ’aime
Carl
Fév 22, 2015 @ 13:06
Masoko…
J’aimeJ’aime