Cinq jours après les informations diffusées par le site de journalisme d’investigation The Intercept sur le piratage des réseaux informatiques de Gemalto par la NSA et son homologue britannique le GCHQ (Government Communications Headquarters), le groupe de puces téléphoniques s’est enfin exprimé à ce sujet.

Après enquête, le géant mondial des cartes SIM a confirmé, mercredi 25 février, qu’il avait bien subi des attaques en 2010 et 2011. Gemalto n’a toutefois pas l’intention de porter plainte contre les États-Unis et le Royaume-Uni, qu'il considère comme étant probablement à l’origine de ce piratage. "Nous n’allons pas lancer de procédures juridiques car en France, ce n’est pas possible. La loi sur le secret des affaires n’a pas été votée. Nous n’avons aucun texte qui nous permettrait de le faire. En Hollande, ce serait possible car nous sommes une société hollandaise, mais ce serait très difficile de gagner contre un État. La NSA ou le GCHQ, s’ils ont mené cette opération, ne vont pas admettre qu’ils l’ont faite", a ainsi expliqué à France 24 à l’issue d’une conférence de presse, Olivier Piou le PDG de la multinationale, dont le siège est basée à Amsterdam.

Interrogé sur le risque d’un nouveau piratage, le responsable de l’entreprise a reconnu qu’il était difficile de tout prévoir : "Nous travaillons dans le domaine civil. Nous ne prétendons pas pouvoir nous prémunir contre toute attaque de la NSA ou de la GCHQ, en particulier quand ils font une ‘special team’ pour pénétrer nos systèmes".

Des attaques mais pas de vols massifs

Un peu plus tôt dans la matinée, Gemalto avait publié un communiqué pour donner plus de précisions sur ces attaques. "Si nous regardons en arrière, sur la période couverte par les documents de la NSA et le GCHQ, nous confirmons avoir fait face à plusieurs attaques. En 2010 et 2011 précisément, nous avons détecté deux attaques particulièrement sophistiquées qui pourraient être reliées à cette opération", stipule le document.

"En juin 2010, nous avons remarqué une activité suspecte sur l'un de nos sites français où un tiers a essayé d'espionner le réseau que nous appelons 'office', c'est-à-dire le réseau de communication des employés entre eux et avec le monde extérieur. Des mesures ont été prises immédiatement pour éradiquer la menace", précise l’entreprise.

Seulement les parties externes du réseau de Gemalto

Gemalto explique toutefois que ces attaques n’ont pas pu aboutir à des vols massifs de clés d’encryptage. "Ces intrusions n'ont affecté que des parties externes des réseaux de Gemalto, c'est-à-dire les réseaux bureautiques qui sont en contact avec le monde extérieur. Les clés de cryptage et plus généralement les données client ne sont pas stockées sur ces réseaux". Le groupe indique également qu’il a noté plusieurs incohérences dans les révélations du site Intercept. Contrairement à ce qu’affirme le site américain, "Gemalto n'a jamais vendu de cartes SIM à quatre des douze opérateurs cités dans les documents, en particulier l'opérateur somalien auquel 300 000 clés d'authentification auraient été volées".

Pour rassurer ses clients, le géant de la carte SIM insiste aussi sur le fait que les données éventuellement volées lors de ces attaques ne sont exploitables que dans les réseaux de deuxième génération (2G), soulignant que les réseaux 3G et 4G ne sont pas vulnérables à ce type d'attaque.

Selon Intercept, ces intrusions auraient permis de pirater le plus grand nombre de téléphones portables possible. Chaque carte est en effet dotée de clefs de cryptage pour coder les communications. En détenant ces clefs, la NSA et le GCHQ ont pu reconstituer des communications sans l’accord des opérateurs et des usagers.

Depuis l’annonce du résultat de son enquête, l’action du groupe Gemalto a gagné 3 % à la bourse. Gemalto produit chaque année deux milliards de cartes (SIM, bancaires et sécurité). Les seules cartes SIM représentent environ un tiers de son chiffre d'affaires et sa part de marché mondial est estimée à environ 50 %.  

Avec AFP et Reuters