Vers le site Automates Intelilgents

La Revue mensuelle n° 154
Robotique, vie artificielle, réalité virtuelle

Information, réflexion, discussion

logo admiroutes

Tous les numéros


Archives
(classement par rubriques)

Image animée
 Dans La Revue
 

 


 


Automates Intelligents dispose d'un blog
N'hésitez pas à y laisser des commentaires :


http://philoscience.over-blog.com/

Article. Ne plus faire confiance aux cartes SIM ?
Jean-Paul Baquiast 21/02/2015


Dans la présentation d'un article de Thierry Berthier décrivant l'espionnage auquel s'était livré l'organisation dite Armée électronique syrienne 1) nous recommandions que l'arbre syrien ne nous cache pas la forêt de la NSA américaine, alliée à son homologue le CGHQ britannique lesquels nous espionnent depuis des années dans une complète impunité et dans une ignorance complète de notre part.

Un document qui vient d'être publié par le journal de Edwards Snowden et de Glenn Greenwald, The Intercept (2) révèle un vol de données privées infiniment plus systématique que ceux connus jusqu'à présent. Il s'agit de la façon dont des agents de la NSA et le CGHQ appartenant à une organisation dite le Mobile Handset Exploitation Team (MHET) ont pénétré depuis 2010 les réseaux internes des fabricants de cartes SIM afin d'en dérober les clefs d'encryption avant que les téléphones ou autres appareils portables utilisant de telles cartes ne soient mis sur le marché.

Les cartes SIM (Subscriber identity module) enregistrent les données d'identification des utilisateurs de mobiles. Elles contiennent des clés d'encryption ou clés de cryptage qui protège les données personnelles vitales concernant l'utilisateur, transmises depuis son portable jusqu'à l'opérateur sans fil. En obtenant de telles clefs, les agences de renseignements peuvent s'affranchir des barrières de sécurité mise en place par l'opérateur, afin d'accéder au contenu de toutes les communications de l'utilisateur, SMS et emails notamment. 3)

Les documents fournis par Snowden montrent comment les agents du MHET ont procédé. Ils ont implanté des cyber-espions ou malware dans les réseaux internes des fabricants de cartes, notamment les « serveurs d'authentification » afin d'obtenir les données concernant les processus et les contenus de cryptage.

En trois mois, des millions de clefs ont été recueillies et communiquées à la NSA. Celle-ci, avec ses puissants moyens de calcul, a la possibilité de traiter des millions de clefs par seconde pour accéder aux contenus des messages jugés intéressants. La société française Gemalto, leader mondial dans ce secteur, a vu des centaines de milliers de clef dérobés par un programme du GCHQ dit DAPINO Gamma. D'autres fabricants de cartes ont été infiltrés de cette façon, notamment le chinois Huawei.

L'alibi chinois

Le prétexte donné par Barack Obama, qui s'est vu posé des questions gênantes à ce sujet, est que la Chine se livrait à un cyberespionnage systématique, et que les données des citoyens ordinaires de par le monde, ceux considérés comme « non suspects », n'étaient pas observées. Mais les spécialistes de la questions savent qu'il n'en est rien. Ainsi Matthew Green, expert en cryptologie au Johns Hopkins Information Security Institute, considère que désormais la sécurité d'aucun appareil portable, quel qu'en soit l'utilisateur, ne peut être garantie.

Ceci d'autant plus que, comme l'observe The Intercept, le processus d'espionnage décrit par les documents communiqués par Greenwald datait de 2010. Depuis, les vols de données d'encryptage se sont certainement systématisés. N'importe quelle agence de renseignement habilité aux Etats-Unis peut d'en servir sans aucune autorisation judiciaire pour explorer les communications de toutes personnes susceptibles d'intéresser ces agences.

Sans mentionner, ajoutons le pour notre part, les usages privés faits de tels clefs par des employés indélicats,visant par exemple à espionner des particuliers ou entreprises les intéressant. Selon les spécialistes, en France même, nous nous trouvons en tant qu'utilisateurs de mobiles devant des risques de vols de données bien supérieurs à ceux auxquels pourraient procéder les agences chinoises ou russes.

Le directeur du FBI James Comey a lui-même convenu que la course à des techniques de cryptage de plus en plus sophistiquées, permettant d'échapper aux méthodes de la NSA et du CGHQ, compliquait la tâche des agences de renseignement. Il souhaiterait que la confiance revienne dans le public des utilisateurs. Autant dire à un gibier décimé par des chasseurs de refaire confiance à ces mêmes chasseurs, au prétexte qu'ils auraient cessé de perfectionner leurs armes.

Faudrait-il qu'en tant qu'utilisateurs parfaitement inoffensifs de cartes SIM, nous renoncions à y faire appel? Sans doute pas. Elles peuvent assurer un minimum de sécurité au regard des actions de petits malfrats artisanaux. Mais, notamment dans les administrations et entreprises faisant transiter des données plus sensibles, il faudra évidemment généraliser des méthodes plus sophistiquées d'encryptage. Sans se faire d'illusions. De futurs fuites provenant de courageux lanceurs d'alerte, à l'avenir, nous montreront que les espions auront à leur tout décrypté ces méthodes de cryptage.

Notes

1) Voir notre article
2) The Intercept. Article
3) Wikipedia Encryption

 

Retour au sommaire