{"id":4350,"date":"2015-03-03T11:16:48","date_gmt":"2015-03-03T11:16:48","guid":{"rendered":"http:\/\/kasperskydaily.com\/france\/?p=4350"},"modified":"2020-02-26T15:51:43","modified_gmt":"2020-02-26T15:51:43","slug":"deux-milliards-carte-sim-cauchemar","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/deux-milliards-carte-sim-cauchemar\/4350\/","title":{"rendered":"Deux milliards de personnes poss\u00e9dant une carte SIM, un cauchemar devenu r\u00e9alit\u00e9"},"content":{"rendered":"<p>Il s\u2019agit de la derni\u00e8re d\u2019une longue lign\u00e9e de r\u00e9v\u00e9lations d\u2019Edward Snowden sur la NSA et il pourrait s\u2019agir d\u2019une des plus choquantes : il affirme que la NSA et son homologue britannique, le GCHQ, auraient <a href=\"https:\/\/threatpost.com\/gemalto-hack-may-have-far-reaching-effects\/111186\" target=\"_blank\" rel=\"noopener nofollow\">compromis les r\u00e9seaux de Gemalto<\/a>, volant ainsi des cl\u00e9s de chiffrement prot\u00e9geant plusieurs millions, voire des milliards de cartes SIM.<\/p>\n<p>Compromettre les cartes SIM \u00e0 ce niveau remet en question l\u2019int\u00e9grit\u00e9 de tout le syst\u00e8me de communication cellulaire mondial. Cela ne veut pas dire que vos communications sont surveill\u00e9es, mais qu\u2019elles pourraient l\u2019\u00eatre en un seul clic.<\/p>\n<p>Si vous vous demandez qui est Gemalto, nous vous r\u00e9pondrons qu\u2019il s\u2019agit d\u2019un fabricant mondial de cartes SIM de t\u00e9l\u00e9phone portable. En r\u00e9alit\u00e9, ils fabriquent plus de cartes SIM que toute autre organisation dans le monde, <a href=\"http:\/\/www.economist.com\/news\/business\/21633870-moves-reinvent-or-even-abolish-sim-card-could-have-big-consequences-endangered-sim\" target=\"_blank\" rel=\"noopener nofollow\">selon The Economist.<\/a><\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">From Espresso: Cards on the table: the hacking of Gemalto <a href=\"http:\/\/t.co\/6fCR9a3I3o\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/6fCR9a3I3o<\/a> <a href=\"http:\/\/t.co\/E6rzg507ov\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/E6rzg507ov<\/a><\/p>\n<p>\u2014 The Economist (@TheEconomist) <a href=\"https:\/\/twitter.com\/TheEconomist\/status\/570552119255814144?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 25, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p><a href=\"https:\/\/firstlook.org\/theintercept\/2015\/02\/19\/great-sim-heist\/\" target=\"_blank\" rel=\"noopener nofollow\">L\u2019article de The Interception<\/a> dans lequel ces all\u00e9gations ont \u00e9t\u00e9 rendues publique, estime que Gemalto produit environ 2 milliards de cartes SIM par an. Pour remettre cela en contexte, il y a 7,125 milliards d\u2019humains dans le monde; <a href=\"http:\/\/www.bizjournals.com\/prnewswire\/press_releases\/2014\/10\/06\/NY30877\" target=\"_blank\" rel=\"noopener nofollow\">environ 7,19 milliards de dispositifs mobiles<\/a>. Parmi les clients de Gemalto, on trouverait les fournisseurs de t\u00e9l\u00e9phonie mobile Sprint, AT&amp;T, Verizon, T-Mobile et quelques 450 autres fournisseurs. La soci\u00e9t\u00e9 est pr\u00e9sente dans 85 pays et exploite 40 installations industrielles.<\/p>\n<p>SIM est un acronyme pour le module d\u2019identification d\u2019abonn\u00e9. Une carte SIM est un petit circuit int\u00e9gr\u00e9 qui se branche sur votre appareil mobile. Il contient l\u2019identit\u00e9 internationale et unique de l\u2019abonn\u00e9 mobile (IMSI) ainsi qu\u2019une cl\u00e9 d\u2019authentification chiffr\u00e9e, les deux \u00e9l\u00e9ments servant essentiellement \u00e0\u00a0 valider le fait que votre t\u00e9l\u00e9phone soit bien votre t\u00e9l\u00e9phone. Cela fonctionne un peu comme la paire nom d\u2019utilisateur-mot de passe, sauf que ce syst\u00e8me se base uniquement sur le mat\u00e9riel et ne peut donc pas \u00eatre modifi\u00e9.<\/p>\n<p>Avoir la liste principale de ces cl\u00e9s donnerait la possibilit\u00e9 \u00e0 un hacker de surveiller les communications et les donn\u00e9es des p\u00e9riph\u00e9riques contenant une carte SIM dont la cl\u00e9 de chiffrement se trouve sur la liste. Si ces all\u00e9gations se r\u00e9v\u00e8lent \u00eatre vraies, cela signifierait que la NSA et le GCHQ ont la capacit\u00e9 de contr\u00f4ler des quantit\u00e9s massives de communications et de donn\u00e9es cellulaires partout dans le monde sans aucun mandat ou autre autorisation judiciaire.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>\u00a0Des all\u00e9gations sur la NSA affirment qu\u2019elle aurait pirat\u00e9 @Gemalto et vol\u00e9 les cl\u00e9s de chiffrement de plusieurs millions de cartes SIM\u00a0<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2F2PP5&amp;text=%C2%A0Des+all%C3%A9gations+sur+la+NSA+affirment+qu%26rsquo%3Belle+aurait+pirat%C3%A9+%40Gemalto+et+vol%C3%A9+les+cl%C3%A9s+de+chiffrement+de+plusieurs+millions+de+cartes+SIM%C2%A0\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>On entend beaucoup parler des activit\u00e9s de la NSA li\u00e9es aux m\u00e9tadonn\u00e9es dans les\u00a0 m\u00e9dias non sp\u00e9cialis\u00e9s, mais de telles fuites et r\u00e9v\u00e9lations concernant la compromission de groupes de g\u00e9n\u00e9rateurs pseudo-al\u00e9atoires sont vraiment troublantes. Les m\u00e9tadonn\u00e9es peuvent vous en dire beaucoup concernant l\u2019endroit o\u00f9 une personne s\u2019est rendue, avec qui elle est associ\u00e9e, et tout simplement vous r\u00e9v\u00e9ler qui est cette personne. Une attaque massive des cartes SIM ou des protocoles de chiffrement donnerait la possibilit\u00e9 \u00e0 un hacker d\u2019observer r\u00e9ellement le contenu de notre correspondance avec une autre personne. Alors que la situation g\u00e9ographique et les interactions d\u2019un mobile fournissent d\u00e9j\u00e0 de nombreuses informations, on ne vous parle m\u00eame pas des communications en texte clair. Aucune analyse n\u2019est n\u00e9cessaire\u00a0: celles-ci s\u2019affichent en temps r\u00e9el.<\/p>\n<p>Dans un document secret qui aurait \u00e9t\u00e9 vol\u00e9 par l\u2019ancien consultant de la NSA et rendu public par The Intercept, la NSA d\u00e9clare: \u00a0\u00bb\u00a0[nous] avons r\u00e9ussi avec succ\u00e8s \u00e0 p\u00e9n\u00e9trer dans plusieurs machines de [Gemalto]et pensons \u00eatre en possession de l\u2019int\u00e9gralit\u00e9 de leur r\u00e9seau\u2026\u00a0\u00a0\u00bb<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Information regarding a report mentioning a hacking of SIM card encryption keys <a href=\"http:\/\/t.co\/huYdcV09Hy\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/huYdcV09Hy<\/a><\/p>\n<p>\u2014 Thales Digital Identity &amp; Security (@ThalesDigiSec) <a href=\"https:\/\/twitter.com\/ThalesDigiSec\/status\/568699628146827264?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 20, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>\u00a0<\/p>\n<p>La confidentialit\u00e9 et la s\u00e9curit\u00e9 des communications cellulaires ne sont pas les seules concern\u00e9es dans ce cas. Il y a \u00e9galement des implications financi\u00e8res substantielles, et ce, pour deux raisons. Comme l\u2019affirment Chris Soghoian, technicien chez l\u2019American Civil Liberties Union et Matthew Green, chercheur sp\u00e9cialis\u00e9 en chiffrement \u00e0 l\u2019Universit\u00e9 de Johns Hopkins, dans l\u2019article de The Intercept, les cartes SIM n\u2019ont pas \u00e9t\u00e9 con\u00e7ues pour prot\u00e9ger les communications individuelles. Elles ont \u00e9t\u00e9 con\u00e7ues pour simplifier le processus de facturation et emp\u00eacher aux utilisateurs d\u2019escroquer le fournisseur de services mobiles lors des premiers jours d\u2019utilisation du t\u00e9l\u00e9phone. Dans certains pays en voie de d\u00e9veloppement encore largement d\u00e9pendants des r\u00e9seaux cellulaires de deuxi\u00e8me g\u00e9n\u00e9ration d\u00e9pass\u00e9es et faibles, de nombreux utilisateurs utilisent leurs cartes SIM pour des \u00a0transferts d\u2019argent ainsi que pour des services de microcr\u00e9dit <a href=\"https:\/\/www.kaspersky.fr\/blog\/progres-twitter-sms-remplace-mots-de-passe\/3829\/\" target=\"_blank\" rel=\"noopener\">comme le tr\u00e8s populaire M-Pesa<\/a><\/p>\n<p>Une attaque de Gemalto met potentiellement en p\u00e9ril l\u2019int\u00e9grit\u00e9 d\u2019une infrastructure de communication mondiale de plus en plus d\u00e9pendante des dispositifs mobiles et des cartes SIM qu\u2019abritent ces dispositifs.<\/p>\n<p>Ce n\u2019est pas seulement un probl\u00e8me financier pour le monde en d\u00e9veloppement : Gemalto est un important fabricant de puces, micro-puces et code PIN ainsi que de cartes de paiement EMV, le principal mode de paiement en Europe. Ces cartes pourraient donc \u00e9galement \u00eatre potentiellement compromises. Selon The Intercept, les puces de Gemalto sont \u00e9galement utilis\u00e9es pour des syst\u00e8mes d\u2019entr\u00e9e de b\u00e2timents, les passeports \u00e9lectroniques, les cartes d\u2019identit\u00e9 et enfin pour des syst\u00e8mes de cl\u00e9s de voitures de luxe, comme AUDI et BMW. Si vous poss\u00e9dez une puce ou une carte PIN de Visa, Mastercard, American Express, JP Morgan Chase ou Barclays, il y a alors de fortes chances pour que la puce de votre carte de paiement ait \u00e9t\u00e9 d\u00e9velopp\u00e9e par Gemalto et, par cons\u00e9quent, pour que sa cl\u00e9 de chiffrement ait \u00e9t\u00e9 compromise.<\/p>\n<p>Pour sa part, malgr\u00e9 les all\u00e9gations et les documents hypoth\u00e9tiquement secrets, <a href=\"https:\/\/threatpost.com\/gemalto-sim-products-are-secure\/111218\" target=\"_blank\" rel=\"noopener nofollow\">Gemalto nie fermement<\/a> la compromission de ses r\u00e9seaux s\u00e9curis\u00e9s.<\/p>\n<p>\u00a0\u00bb\u00a0Aucune infraction n\u2019a \u00e9t\u00e9 trouv\u00e9e dans l\u2019infrastructure ex\u00e9cutant\u00a0 notre activit\u00e9 de SIM ou dans d\u2019autres parties du r\u00e9seau s\u00e9curis\u00e9 qui g\u00e8rent nos autres produits tels que des cartes bancaires, des cartes d\u2019identit\u00e9 ou des passeports \u00e9lectroniques. Chacun de ces r\u00e9seaux est isol\u00e9 l\u2019un de l\u2019autre et ne sont pas connect\u00e9s aux r\u00e9seaux externes\u00a0\u00a0\u00bb d\u00e9clare l\u2019entreprise <a href=\"https:\/\/threatpost.com\/gemalto-officials-say-sim-infrastructure-not-compromised\/111261\" target=\"_blank\" rel=\"noopener nofollow\">dans un communiqu\u00e9<\/a>.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Gemalto presents the findings of its investigations into the alleged hacking of SIM card encryption keys <a href=\"http:\/\/t.co\/AV0TmzVUmZ\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/AV0TmzVUmZ<\/a><\/p>\n<p>\u2014 Thales Digital Identity &amp; Security (@ThalesDigiSec) <a href=\"https:\/\/twitter.com\/ThalesDigiSec\/status\/570483469568118784?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 25, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Toutefois, la soci\u00e9t\u00e9 avait pris connaissance de plusieurs tentatives de piratage ayant eu lieu dans le pass\u00e9, et dont elle tenait pour responsables la NSA et le GCHQ.<\/p>\n<p>Un autre aspect troublant concernant les r\u00e9v\u00e9lations de Snowden est que le document est dat\u00e9 de 2010. En d\u2019autres termes, cela signifie que, non seulement cette op\u00e9ration concernant les cartes SIM a dur\u00e9 5 ans, mais aussi que la technique a cinq ans. Une \u00e9ternit\u00e9 en informatique.<\/p>\n<p>Au-del\u00e0 du risque personnel que la compromission des cl\u00e9s de la carte SIM pose \u00e0 notre vie priv\u00e9e collective et individuelle, si les documents de Snowden sont r\u00e9els, alors cette attaque serait un cauchemar en termes de relations internationales. Vous vous souvenez il y a deux mois quand tout le monde s\u2019insurgeait de l\u2019attaque de la Cor\u00e9e du Nord contre Sony Pictures Entertainment et la consid\u00e9rait comme une d\u00e9claration de guerre\u00a0? Au moins cette attaque, qui a de grandes chances d\u2019avoir \u00e9t\u00e9 perp\u00e9tr\u00e9e par la Cor\u00e9e du Nord, ciblait un studio de films et a diffus\u00e9 des scripts de films et des courriers \u00e9lectroniques. Une attaque sur Gemalto compromettrait potentiellement l\u2019int\u00e9grit\u00e9 d\u2019une infrastructure de communication mondiale de plus en plus li\u00e9e aux appareils mobiles et aux cartes SIM qui se trouvent \u00e0 l\u2019int\u00e9rieur.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>De nouvelles all\u00e9gations sur la NSA affirment que le groupe aurait pirat\u00e9 le r\u00e9seau du plus grand fournisseur de carte SIM au monde, volant ainsi les cl\u00e9s de chiffrement de millions de dispositifs.<\/p>\n","protected":false},"author":42,"featured_media":4351,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[1057,596,1059,180,1060,1223,61,1058],"class_list":{"0":"post-4350","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-agence-nationale-de-securite","9":"tag-carte-sim","10":"tag-cauchemar","11":"tag-confidentialite","12":"tag-deux-milliards","13":"tag-mobile","14":"tag-securite","15":"tag-snowden"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/deux-milliards-carte-sim-cauchemar\/4350\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/agence-nationale-de-securite\/","name":"Agence Nationale de S\u00e9curit\u00e9"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/4350","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=4350"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/4350\/revisions"}],"predecessor-version":[{"id":14273,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/4350\/revisions\/14273"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/4351"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=4350"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=4350"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=4350"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}