actu_25177_vignette_alaune

La NSA dans votre portable

Le 26 févr. 2015

De quoi donner du grain à moudre à tous les paranos de la techno : la NSA s’intéresse aux clés « OTA », qui permettent d’installer des mouchards quasiment indétectables directement sur la carte SIM… et à distance.

The Intercept a révélé que la NSA et le GCHQ avaient hacké le système informatique de Gemalto, le plus grand fabricant de cartes SIM, pour voler des clés Ki, qui servent à authentifier l’utilisateur et chiffrer les communications.

En plus de ces clés Ki, les cartes SIM contiennent aussi les clés « OTA » (Over-The-Air) qui permettent à l’opérateur d’agir sur le téléphone à distance. Les opérations sont réalisables via un SMS envoyé au smartphone, invisible pour l’utilisateur.

En extrapolant et entre des mains expertes, ces clés pourraient permettre de traquer un smartphone, sans que la manipulation ne puisse être remarquée par l’utilisateur. Claudio Guarnieri, un chercheur en sécurité qui s’était investi dans l’affaire Snowden, a estimé que la possession de ces clés OTA pourrait représenter « la plus grande menace dans la sécurité mobile jamais connue ». Une théorie qui pourrait être soutenue par des documents d’Edward Snowden montrant que la NSA a bel et bien créé des implants pour cartes SIM.

Gemalto tient cependant à rassurer les consommateurs. La société confirme des attaques mais pas de « vol massif ». Dans un communiqué publié mercredi, Gemalto livre ses conclusions sur les piratages du GCHQ et de la NSA. Notons que ce n’est pas la première fois que Gemalto en est la victime : en 2010, deux tentatives de piratage qui répondent aux techniques présentées dans les documents d’Edward Snowden ont eu lieu. Par ailleurs, Olivier Piou, le PDG du Groupe, a annoncé qu’il ne porterait pas plainte. « Attaquer un Etat est coûteux, long et aléatoire. (…) Les Américains et les Anglais sont déjà dans le XXIè siècle, et la France malheureusement n’a même pas les outils juridiques pour se défendre ».

Edward Snowden a organisé une session de questions – réponses sur Reddit cette semaine. Il donne son avis sur cette affaire, et sa prise de position est plutôt affirmée : « Ils n’ont pas seulement entubé Gemalto, ils nous ont tous entubés. La seule manière de combler cette faille de sécurité est de faire un rappel et de remplacer toutes les cartes SIM fabriquées par Gemalto ».

 

Commentaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.