Gemalto minimise le vol de données et ne déposera pas plainte
Circulez, il n'y a presque rien à voir
Le 25 février 2015 à 14h00
5 min
Internet
Internet
Comme prévu, Gemalto a fini par publier un nouveau communiqué de presse et donner une conférence ce matin. L’entreprise, ciblée par la NSA et le GCHQ en 2010 et 2011, reconnait avoir été la victime d’une attaque très sophistiquée, mais les données volées seraient selon elles bien peu nombreuses, contredisant de fait certaines informations de The Intercept.
Les tentatives d'intrusions détectées rendent l'opération « probable »
Résumé de ce que l’on savait au sujet de Gemalto. L’entreprise, l’un des plus gros fournisseurs de cartes SIM au monde, a été attaquée en 2010 et 2011, avec pour résultat le vol d’un grand nombre de clés de chiffrement. Ces informations, présentées par The Intercept sur la base de documents dérobés par Edward Snowden, montraient clairement que le vol était important et que Gemalto ne protégeait pas tous les envois de clés aux opérateurs mobiles.
L’affaire a fait rapidement grand bruit. Et pour cause : armés des clés de chiffrement, les analystes ont la capacité par exemple de construire de fausses antennes aptes à récupérer les données de conversations vocales, SMS, MMS et ainsi de suite. Mais si les documents abordaient directement l’obtention des infos et la manière dont les agences de renseignement avaient pénétré les réseaux de Gemalto, ils n’indiquaient pas vraiment comment ces informations avaient pu être exploitées.
Dans son communiqué de presse publié ce matin, Gemalto aborde frontalement la situation. L’entreprise publie ainsi les conclusions d’un audit commencé la semaine dernière, après l’avertissement et les informations envoyés par The Intercept. D’après les résultats, Gemalto estime que l’opération orchestrée par la NSA et le GHCQ est « probable », des attaques ayant été détectées en 2010 et 2011.
Selon Gemalto, la situation est bien moins grave qu'il n'y paraît
Cependant, la société nie rapidement que cette opération aurait permis la récupération d’un grand nombre de données sensibles. Elle explique ainsi que les attaques « n'ayant touché que des réseaux bureautiques, elles n'ont pas pu résulter en un vol massif de clés d'encryptage de cartes SIM ». Gemalto revient également sur les envois de clés de chiffrement aux opérateurs, la firme indiquant qu’elle réalisait ces opérations de manière sécurisée « avant 2010 » et que le système d’échange sécurisé était alors « largement déployé ». D’ailleurs, Gemalto sous-entend que dans les cas où de tels échanges sécurisés n’étaient pas en place, il s’agissait d’un choix des opérateurs.
Gemalto continue sur des conclusions dont elle espère visiblement qu’elles donneront un sérieux coup au soufflet de l’affaire. Ainsi, l’entreprise affirme que les clés qui ont été dérobées (visiblement en petit nombre) « ne sont exploitables que dans les réseaux de deuxième génération (2G) ». Conséquence, tous les réseaux 3G et 4G sont protégés par d’autres technologies de chiffrement, gommant ainsi des faiblesses des précédentes. En d’autres termes, les utilisateurs qui ne passent jamais par de la 2G ne seraient pas concernés par un piratage de leurs données. En tout cas, pas par ce biais.
Même si Gemalto reconnait que les attaques de 2010 et 2011 étaient « particulièrement sophistiquées », elle nie donc des conséquences graves. Elle affirme également qu’elles n’ont touché que « la partie externe » de son réseau, « architecturé pour être très sécurisé ». Elle ajoute qu’il n’y a pas eu d’autres intrusions, notamment « dans les autres parties du réseau sécurisé qui gèrent d'autres produits, tels que les cartes bancaires, les cartes d'identité et les passeports électroniques ».
La société se dit « préoccupée », mais ne déposera pas plainte
L’entreprise semble émerger d’une prise de conscience : « Toutefois, Gemalto est bien conscient du fait que les plus éminentes agences d'espionnage, surtout lorsqu'elles font équipe, possèdent des ressources et des appuis juridiques qui dépassent de loin les moyens à la disposition des pirates et autres organisations criminelles ordinaires. Nous restons néanmoins préoccupés par le fait que des autorités d'État aient pu lancer de telles opérations contre des sociétés privées non coupables d'agissements suspects ».
Et maintenant ? Il n’y a pas pour Gemalto de tensions particulières avec ses clients : « Nos équipes ont tout particulièrement apprécié le soutien dont ils nous ont fait preuve en cette période inédite ». La priorité pour la société est donc « l’écoute » de leurs besoins. Elle ne compte par ailleurs pas communiquer davantage sur le sujet, à moins que de nouveaux éléments ne l’y forcent. Une surveillance accrue des infrastructures réseaux a tout de même été mise en place.
Étrangement, Gemalto n’envisage pas de déposer plainte, car le processus, contre un État, serait « trop long, aléatoire et coûteux », comme l’a indiqué le PDG Olivier Piou, durant la conférence de ce matin. Il existe selon lui un vrai problème de faits qui restent « difficiles à prouver d’un point de vue juridique ». Plus étonnant, la société n’envisage même pas de prendre contact avec la NSA et le GCHQ, estimant qu’il s’agirait d’une « perte de temps ».
Bien entendu, un procès obligerait Gemalto à dévoiler de nombreux détails sur la manière dont la sécurité a été gérée ou encore sur ce qui a précisément été dérobé. Avec cette posture purement communicante, l'entreprise évite cette étape potentiellement douloureuse.
Gemalto minimise le vol de données et ne déposera pas plainte
-
Les tentatives d'intrusions détectées rendent l'opération « probable »
-
Selon Gemalto, la situation est bien moins grave qu'il n'y paraît
-
La société se dit « préoccupée », mais ne déposera pas plainte
Commentaires (35)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 25/02/2015 à 14h27
Les mecs sont conscient qu’ils ne peuvent pas gagner. Les piratages de la NSA sont légitimes, c’est les gentils contre les méchants forcement terroristes, avec ça tout est légitime n’est-ce pas. Se mettre à dos les ricains c’est contre-productif.
C’est assez drôle quand il préconise de se fournir en routeur américain plutôt qu’en routeur chinois.
A quand la prochaine polémique maintenant.
Le 25/02/2015 à 14h28
oui … enfin franco italienne … et gem+ à été fondé par des ex-employé de ST qui on eu l’autorisation d’exploiter les brevet que ST avait développé pour les cartes à puces … en gros on est dans le même réseau professionnel, et je crois que GemAlto travail toujours avec ST …. mais ça je ne suis pas certain….
Le 25/02/2015 à 14h37
Là par contre je comprends pas trop comment tu as fait pour comprendre ça " />
Le 25/02/2015 à 14h51
ça c’est peut-être réglé à coup de $$$.
Le 25/02/2015 à 14h51
Le 25/02/2015 à 14h55
Bonjour, nous avons bien reçu les pots de vins et le menaces americano-britanniques, ainsi nous démentons et minimisons tout ce qui s’est passé et fermeront les yeux à l’avenir sur d’autres intrusions de gouvernements étrangers chez qui nous avons des clients.
Merci de continuer à acheter nos produits et nos actions.
Le 25/02/2015 à 15h28
Donc ce que dit Eric FILIOL sur le torpillage SYSTÉMATIQUE par les lobby americains de nos boites est juste … VRAI ?
Le 25/02/2015 à 15h30
Oui on va éviter de troo creuser, on risquerais de trouver des trucs
Mais sinon, l’anssi n’a pas commenté? Gemalto m’est pas d’importance stratégique?
Le 25/02/2015 à 15h37
“Avant 2010” sous-entendu les échanges étaient déjà chiffrés au moment du piratage (en 2010 donc).
Le 25/02/2015 à 16h15
Le 25/02/2015 à 16h56
Ok, mea culpa, j’ai l’esprit tordu. " />
Le 25/02/2015 à 17h13
Je vais bien, tout va bien.
Je suis gai, tout me plait…
" />
Perso, je donne pas cher de l’avenir de cette entreprise.
Entre les piratages “sans gravité” et la disparition progressive des cartes à puce (numéros virtuels), je me demande bien comment les investisseurs peuvent encore avoir confiance en cette société adepte de la méthode Hollande.
Le 25/02/2015 à 17h17
Étrangement, Gemalto n’envisage pas de déposer plainte, car le processus, contre un État, serait « trop long, aléatoire et coûteux », comme l’a indiqué le PDG Olivier Piou, durant la conférence de ce matin.
Je ne vois rien d’étrange : ils n’ont rien à y gagner et tout à y perdre lorsque cela empoisonnera leurs relations avec leurs clients américains.
Ce genre d’affaires d’espionnage entre une entreprise et un état se règle normalement au niveau gouvernemental. Du temps de De Gaulle ça aurait fulminé dans les chaumières et on aurait obtenu des excuses ou des concessions en retour. Du temps de Hollande on a probablement téléphoné à Obama pour nous excuser de le gêne occasionnée et ordonné à Gemalto de laisser couler. Hollande est quand même le type qui avait réagi à la sodomie à sec de la NSA par une offre de “collaboration” (sic).
Il existe selon lui un vrai problème de faits qui restent « difficiles à prouver d’un point de vue juridique ». Plus étonnant, la société n’envisage même pas de prendre contact avec la NSA et le GCHQ, estimant qu’il s’agirait d’une « perte de temps ».
Je ne vois rien d’étonnant, ce serait effectivement une perte de temps.
Le 25/02/2015 à 17h28
Le 25/02/2015 à 18h01
Le 25/02/2015 à 18h20
Le 25/02/2015 à 14h08
Plus étonnant, la société n’envisage même pas de prendre contact avec la NSA et le GCHQ, estimant qu’il s’agirait d’une « perte de temps ».
Ou alors ils ont déjà pris contact, et ça explique pourquoi ils déposent pas plainte " />
Le 25/02/2015 à 14h09
euh …vendu ?
Quand tu vois que l’entreprise Française qui a inventé des puces ultra protégées avait été acheté par des Américains …et que cela reste dans la cave….
Le 25/02/2015 à 14h11
Okay… on se fait volait des données ou au moins tentative, mais c’est pas grave on porte pas plainte… vaste blague cette nsa
Le 25/02/2015 à 14h14
Plus étonnant, la société n’envisage même pas de prendre contact avec la NSA et le GCHQ, estimant qu’il s’agirait d’une « perte de temps ».
C’est logique, la NSA et le GCHQ nieront forcement toute tentaive d’intrusion dans les systémes informatique d’une société “amie”
Le 25/02/2015 à 14h17
Et ne pas oublier la présomption d’innocence " />
" />
Le 25/02/2015 à 14h19
ben non, ils ne vont pas déposer plainte car ILS BOSSENT AVEC la NSA et le GCHQ !!!
Pardi.
Le 25/02/2015 à 14h20
Faut qu’on développe du matos avec ça (STelec est une boite française)
http://www.st.com/st-web-ui/static/active/en/resource/technical/document/datashe…
peut etre .
Le 25/02/2015 à 14h22
On a compris le message : circulez y a rien à voir !
C’est un peu facile.
Et sinon ça dérange personne qu’il nous annoncent avoir arrêté les échanges de manière sécurisée à partir de 2010 ?
Le 25/02/2015 à 14h24
Le 25/02/2015 à 14h26
En gros, on s’est fait sodomisé a sec avec du gravier par la NSA et consort mais on ne portera pas plainte car tout le monde aura accès à la vidéo des faits.
L’attitude de cette entreprise est déconcertante et intrigante. il y a beaucoup d’éléments croustillants qu’on nous cache…
Le 25/02/2015 à 18h30
Gemalto a déjà été au centre d’une autre affaire d’espionnage à l’époque où elle s’appellait encore Gemplus. En 2000 la société veut conquérir le marché américain et accepte de recevoir du financement du groupe Texas Pacific Group (TPG) en échange de parts dans la société. Fatale erreur car TPG agit en cheval de Troie et utilise ses parts pour permettre à In-Q-Tel, le fonds d’investissement de la CIA, de prendre le contrôle de Gemplus. A partir de ce moment le siège de la société est transféré en Californie et les US siphonent technologies, brevets et savoir-faire cryptographique. En 2006 l’état Français se réveille et rachète une part majoritaire de Gemalto (renommée entre temps), cependant il est déjà bien trop tard, et les US sachant tout ce qu’ils voulaient savoir, revendent leurs parts.
Relaté dans l’émission Rendez-vous avec X :
http://www.franceinter.fr/emission-rendez-vous-avec-x-l-affaire-gemplus
Le 25/02/2015 à 18h34
Plus que l’amateurisme de Gemalto sur ce coup là, plus que leur hypocrisie, plus que le cynisme de la NSA / GCHQ, moi ce qui me frappe dans cette affaire, c’est que la plus grosse faille de sécurité là dedans, vient du fait de la concentration des marchés.
Si Gemalto n’était pas majoritaire sur ce marché, mais s’il y avait de multiples opérateurs, toute fuite aurait mathématiquement des conséquences bien moins graves.
La concentration c’est toujours du risque en plus, malgré les avantages apportés. TOUJOURS.
Le 25/02/2015 à 18h46
Le 25/02/2015 à 19h24
Si ça se trouve, ils ont reçu une “security letter” qui leur interdit tout, y compris de dire qu’ils ont reçu cette lettre.
La NSA et le GCHQ ont peut-être trouvé un moyen de fliquer les SIMs _avec_ la complicité de cette boite.
cf les pépins avec cette boite de messagerie sécurisée dont le nom m’échappe, et qui a fermé du jour au lendemain suite à une de ces “security letter”.
cf également l’initiative de la FSF pour placer des “canaris” sur les sites, à l’image des oiseaux qui accompagnaient les mineurs : le canari disparait = il y a eu “security letter”.
Le 25/02/2015 à 19h30
les security letter c’est quand la boite est sous la juridiction du pays qui fait l’intrusion ton exemple c’était aux states.
Je vois mal une boite française se faire menacer juridiquement par les ricains cars ils leurs ouvrent pas les portes de clefs secrètes. Par contre les menacer d’autre choses, genre vos cartes seront invendables aux US , ça on est d’accord…
Le 25/02/2015 à 20h56
Le 25/02/2015 à 23h28
Donc 4 ans après, ils sont capables de savoir qu’ils ne se sont rien fait voler de significatif. Ils sont bien sûr d’eux…
Le 26/02/2015 à 11h58
Lavabit ?
Enfin comme fumoffu dit, c’est pas le même pays donc pour faire pression juridiquement c’est pas aussi facile pour la NSA et autres GCHQ…
Enfin je pense qu’ils ont surement d’autres moyens ..
Le 26/02/2015 à 12h06