Affaire #Gemalto : La vie privée – encore – à l’épreuve de la surveillance

26 Feb 2015 / Dhouha Ben Youssef

Alors que nous parlions il y a quelques jours de l’illégalité des noces entre les services secrets britanniques et leurs homologues américains, Edward Snowden a révélé de nouvelles informations sur cette coopération, portant cette fois-ci sur l’intrusion de ces mêmes services dans le système informatique du plus grand producteur mondial de cartes SIM « Gemalto », dérobant ainsi les clés de chiffrement des cartes qui servent à protéger le caractère privé des données personnelles de leurs clients.

Networks

Gemalto-tunisie

Alors que nous parlions il y a quelques jours de l’illégalité des noces entre les services secrets britanniques et leurs homologues américains, Edward Snowden a révélé de nouvelles informations sur cette coopération, portant cette fois-ci sur l’intrusion de ces mêmes services dans le système informatique du plus grand producteur mondial de cartes SIM « Gemalto », dérobant ainsi les clés de chiffrement des cartes qui servent à protéger le caractère privé des données personnelles de leurs clients.

Gemalto-CNE-Access-Mobile-Networks
CNE Access to Core Mobile Networks, The Intercept.

Gemalto le fournisseur établi aux Pays-Bas, présent dans plus de 85 pays et qui fournirait en cartes dites sécurisées, plus de 450 entreprises et opérateurs à travers le monde s’est fait espionné par d’une part la NSA et d’autre part le GCHQ. En effet c’est le vendredi 20 février 2015 que Snowden a révélé, par le biais d’un article sur le site-web spécialisé « The Intercept », l’espionnage qui a duré de 2010 à 2011, et qui consiste en un « hacking », via des copies, des clés de chiffrement contenues dans les cartes SIM vendues mondialement, ce qui a permis aux deux agences de renseignements, et probablement à d’autres, d’espionner les conversations des utilisateurs. Plus grave encore, la NSA et le CGHQ ont espionné les employés de la firme Gemalto essentiellement leurs comptes de messageries et Facebook afin de trouver un fil conducteur vers ces clés de chiffrement. Plus particulièrement visés, les employés de Gemalto en France.

Dans un premier communiqué de presse, Gemalto a nié avoir connaissance de cet espionnage et a rappelé sa politique d’entreprise responsable et son dévouement quant à fournir les solutions technologiques les plus sécurisées, aussi l’entreprise annonça l’ouverture d’une sérieuse enquête. Le second communiqué vient comme une mise à jour du premier, et le mercredi 25 février l’entreprise a exposé lors d’une conférence de presse quelques premiers résultats de leur audit. Tout d’abord Gemalto affirme que le hacking a bien eu lieu, toutefois il se résumerait seulement à leur réseau intra, mais avec l’objectif de copier les clés de chiffrement. Des attaques que Gemalto qualifie de sophistiquées mais certifient qu’ils n’arrivent toujours pas à en déterminer la provenance ni l’étendue et de ce fait ne penseraient pas porter plainte contre les agences « pirates ».

La stabilité de l’entreprise semble bien mise à mal par les révélations de Snowden d’ailleurs la confiance de leurs clients aussi, puisque le cours de leur titre en bourse a chuté de 2.69 points au lendemain de ce scandale. Vient s’ajouter à ceci, le rappel que nous présente le magazine l’Expansion, sur la nature des relations entre la NSA, la CIA et le président non-exécutif de Gemalto, ce dernier est un ancien administrateur du « bras armé technologique des agences de renseignement américaines ».

Plusieurs experts internationaux en sécurité informatique, ont d’ailleurs commenté d’une part la nonchalance des services de presse de l’entreprise, car les ayant prévenus de l’information divulguée par Snowden, la responsable communication a préféré poursuivre son déjeuner. Par ailleurs, les experts ont aussi remis en question la singularité affichée de l’entreprise qui se définissait toujours comme premier fournisseur mondial de carte hautement sécurisées :

D’autres ont parlé de l’étendue de ce, Rudolf Van Der Berg expert en télécommunications auprès de l’OCDE, affirme que « si l’on détient les clés de chiffrement des cartes SIM, on peut avoir accès à toutes les données présentes sur les cartes ainsi que les téléphones mobiles ».

Et ceci est bien vrai, car en ayant la copie de la clé de chiffrement, la NSA n’a pas seulement accès aux appels téléphoniques, mais bien au-delà, l’agence peut placer un logiciel espion/malveillant sur le GSM, tel que MonkeyCalendar produit par la NSA, qui sera non détectable et permettra de pomper d’autres données présentes sur l’appareil.

Pour le fondateur du projet TOR et membre de WikiLeaks Jacob Appelbaum, le cas du piratage des systèmes Gemalto, ne se résume pas aux questions de droit à la vie privée ou la cyber sécurité mais ce scandale est un exemple de vol d’identité.

En Tunisie on fait encore l’autruche

En Tunisie on fait encore l’autruche, malgré que le risque quant à nos données à caractère personnel soit aussi important que partout ailleurs dans le monde où l’on utilise les solutions et SIM Gemalto. En effet, cette entreprise détient, dans notre pays, la plus grande part de marché de distribution de cartes SIM. Outre le secteur mobile, Gemalto propose aussi ses services de sécurisation de données notamment à l’Agence Nationale de Certification Electronique « ANCE », qui elle-même est chargée de sécuriser nos transactions en ligne, aussi que des solutions de sécurisation des données des cartes de paiement puisque il est fournisseur de la société Monétique Tunisie et de nombreuses banques. Par ailleurs Gemalto propose des cartes d’accès à des lieux protégés, qui sont utilisées dans des institutions comme le Ministère de l’Intérieur ou encore divers services des douanes.

Plus alarmant encore, Gemalto est un partenaire de Groupe OXIA, ce dernier possède un centre de services pour leur compte. Rappelons que OXIA a été d’une part choisi pour établir la stratégie de l’identifiant numérique unique en Tunisie, d’autre part OXIA a été présélectionné avec 3 autres de ses partenaires pour appuyer la mise en œuvre de I’eGov et de l’Open Gov.

⬇︎ PDF

Sachant que la plus part des relations commerciales de Gemalto en Tunisie dépendent du bureau de parisien, qui rappelons-le a été le plus important objectif du piratage opéré par les agences de renseignements NSA et CGHQ, nous avons interpelé le nouveau ministre des technologies de la communication et de l’économie numérique, Noomane Fehri, espérant une déclaration de sa part, mais nos efforts n’ont pas payé, et monsieur le ministre a même tenu une réunion de suivi du projet de l’identifiant numérique, le mercredi 25 février.

Nous nous sommes retournés vers l’instance indépendante de protection des données à caractère personnel « INPDP », et pareillement que le ministre, son directeur n’a pas répondu à notre question, ce qui ne fut pas étonnant puisqu’en Tunisie c’est toujours l’inertie.

Il faut croire que pour la Tunisie comme le Liban et certainement d’autres pays de la région, la souveraineté nationale, que nous martèlent les politiciens et parlementaires, disparaitrait dès qu’il s’agisse des Etats Unis ou Grande Bretagne.

En effet, le cas du silence des autorités et les risques découlant des engagements contractés auprès de Gemalto, existent aussi au Liban. En effet, dès la publication de la révélation, seuls les opérateurs mobiles ont fait des déclarations qui furent soit pour se dégager du sujet car ce n’est un client de Gemalto, soit pour amoindrir les répercussions tout en montrant une certaine inquiétude. Du côté société civile, Mohamad Najem activiste et co-fondateur du projet SMEX, s’est inquiété du contrat entre la société libanaise « Inkript » et Gemalto pour la fourniture des passeports biométriques ainsi que les services des douanes. Dans une interview qu’il nous a accordée, Mohamad regrette la non-couverture de l’affaire médiatiquement au Liban sauf exception d’AlAkhbar, ainsi que le silence du gouvernement sachant que Gemalto est le sous-traitant d’Inkript.

Mohamad ne s’étonne guerre de ce comportement : « Les gouvernements du monde arabe sont plus inquiétés par les moyens de garder le pouvoir, que le droit à une vie privée de leurs citoyens… ce n’est pas une priorité ». Pour lui il n’y a pas de confiance à leur accorder, d’ailleurs il conclu par nous avouer que « Les gouvernements sont tous coupables jusqu’à preuve de leur innocence quand il s’agit de leurs actions liées à la régulation ou cyber-sécurité ».

Enfin, j’aimerai vous inviter à regarder et prendre connaissance des 7 raisons pour lesquelles, nous tous devrions apprécier la surveillance « We love Surveillance » ainsi que le film récemment récompensé aux oscars « Citizen Four » qui retrace les premières révélations d’Ed. Snowden.

CGHQ données personnelles Gemalto NSA Surveillance vie privée