Gemalto : les cartes SIM en sécurité, une conférence de presse mercredi

Les détails de l'enquête seront publiés mercredi

Gemalto : les cartes SIM en sécurité, une conférence de presse mercredi

Par Vincent Hermann

Le 23 Février 2015 à 17:10
Logiciel
2 min 22

Gemalto : les cartes SIM en sécurité, une conférence de presse mercredi

La société néerlandaise Gemalto a réagi aujourd’hui à la polémique sur la sécurité de ses cartes SIM, menacée par une opération jointe de la NSA et du GCHQ. Ce géant de la puce électronique affirme ainsi qu’au vu des premiers éléments de l’enquête, il n’existe pas vraiment de risque pour les clients.

L’article de The Intercept, basé sur les documents dérobés par Edward Snowden à la NSA, a fait sensation la semaine dernière : une équipe, composée de membres de la NSA et du GCHQ (respectivement les agences de renseignement des États-Unis et du Royaume-Uni), a pu récupérer des millions de clés de chiffrement servant à protéger les communications des cartes SIM auprès de Gemalto. Selon les documents présentés, les analystes avaient pu réussir cette opération grâce à la négligence des envois de clés qui se faisaient, pour certains, par FTP ou simples emails.

Averti mercredi dernier par The Intercept, la société Gemalto avait indiqué qu’elle avait démarré un audit de sécurité immédiatement. Rien ne semblait alors indiquer que les clients étaient menacés, et Gemalto persiste et signe. Dans un communiqué qui vient de paraître, l’entreprise indique : « Les conclusions initiales indiquent que les produits SIM de Gemalto (ainsi que les cartes bancaires, les passeports et les autres produits et plateformes) sont sécurisés, et la société ne s’attend pas à subir un préjudice financier significatif ».

Reste que les conclusions complètes de l’enquête seront détaillées mercredi à 14h00, tandis qu’une conférence de presse spécifique aura lieu à Paris à 10h30.

Commentaires (22)


NSophis
Le 23/02/2015 à 17h18

Il n’y a pas vraiment de risque pour ses clients.

En attendant, une belle aquisition, ce serait dommage de se brouiller avec le gouvernement américain lorsque ce dernier est un gros client.

______

Tweet @electrospaces

Last month, #Gemalto acquired the US manufacturer of government and commercial encryption devices

http://www.safenet-inc.com/SafeNet-Gemalto-Merger/ #safenet


m1k4
Le 23/02/2015 à 17h20

Le truc que je pige pas, c’est que t’as beau faire un audit de sécu, comment être sûr que coté clients c’est pas compromis ?

Si tes clefs ont leaké via vol des emails ou des clefs sur des FTP, tu peux déjà pas savoir lesquelles sont concernées, alors comment ils font pour en être aussi derrière ?

Ils ont pas pu tester des millions de connexions end to end en une semaine…


uzak
Le 23/02/2015 à 17h25







m1k4 a écrit :



Le truc que je pige pas, c’est que t’as beau faire un audit de sécu, comment être sûr que coté clients c’est pas compromis ?

Si tes clefs ont leaké via vol des emails ou des clefs sur des FTP, tu peux déjà pas savoir lesquelles sont concernées, alors comment ils font pour en être aussi derrière ?

Ils ont pas pu tester des millions de connexions end to end en une semaine…





T’as mal lu :

Les conclusions initiales indiquent que les produits SIM de Gemalto (ainsi que les cartes bancaires, les passeports et les autres produits et plateformes) sont sécurisés, et la société ne s’attend pas à subir un préjudice financier significatif

En clair, OSEF des clients, la société n’en perdra pas et ne perdra pas trop de pognon.



kypd
Le 23/02/2015 à 17h31

Comme un commercial IBM m’a déjà dit lorsque je demandais des détails techniques d’une solution qui garantie l’intégrité d’un message :



C’est garanti par contrat !



 

J’ai faillit l’insulter…


barlav Abonné
Le 23/02/2015 à 17h32

Je crois que l’accusation initale était que tout leur réseau a été piraté.

“Or, les documents montrent que la NSA et le GCHQ ont uni leurs forces

pour former une équipe spéciale, nommée MHET (pour Mobile Handset

Exploitation Team), qui est parvenue à s’infiltrer dans le réseau de

Gemalto en avril 2010.” ici

les agents du GCHQ ont pour cela surveillé de près certains employés de l’entreprise, jusque dans les réseaux sociaux, à la recherche d’une étourderie qui aurait permis de s’infiltrer.

Gemalto n’a trouvé aucune trace de l’intrusion pour l’instant

 

Donc on parle bien d’un audit sur leur réseau.


Agent Orange
Le 23/02/2015 à 17h35

La NSA et le GCHQ ont uni leurs forces pour voler ces clés. Ce sont des méthodes de voyous et en principe c’est puni par la loi. Alors ?








Agent Orange a écrit :



La NSA et le GCHQ ont uni leurs forces pour voler ces clés. Ce sont des méthodes de voyous et en principe c’est puni par la loi. Alors ?





alors penche toi en avant ils vont te faire un tour de magie



ForceRouge Abonné
Le 23/02/2015 à 18h45







darkbeast a écrit :



alors penche toi en avant ils vont te faire un tour de magie







Baissez votre pantalon et touchez vos orteils s’il vous plait.



Sinon plus sérieusement, je vois un bon coté à ça, au moins on va peut être essayer de commencer à faire de la vrai sécurité maintenant.



Les algos sont là, les outils sont là. Mais faut toujours au final qu’un branqu’ ouvre au pauvre ftp avec tout en clair…



Jarodd Abonné
Le 23/02/2015 à 19h50



« Les conclusions initiales indiquent que les produits SIM de

Gemalto (ainsi que les cartes bancaires, les passeports et les autres

produits et plateformes) sont sécurisés, et la société ne s’attend pas à

subir un préjudice financier significatif »





Les données des clients, rien à foutre.

Ce qui compte, c’est que le cours de l’action ne baisse pas. Fuck le reste <img data-src=" />


Jarodd Abonné
Le 23/02/2015 à 19h52

La NSA a toujours dit agir dans le respect de la loi américaine. Et vu qu’on lui a donné les pleins pouvoirs, elle est dans les clous. J’imagine que c’est pareil pour le GCHQ, il faut lutter contre le terrorimse et les vilains pirates, peu importe les dommages collatéraux ou ce que diront ces salauds de gauchistes qui se préoccupent de la vie privée, ce vieux principe du 20e siècle.


Anonyme_f7d8f7f164fgnbw67p
Le 23/02/2015 à 20h03







Jarodd a écrit :



La NSA a toujours dit agir dans le respect de la loi américaine.





La CIA l’a aussi souvent dit, mais l’histoire a prouvé que c’était souvent faux.



KiaN
Le 23/02/2015 à 20h46







Jarodd a écrit :



La NSA a toujours dit agir dans le respect de la loi américaine. Et vu qu’on lui a donné les pleins pouvoirs, elle est dans les clous. J’imagine que c’est pareil pour le GCHQ, il faut lutter contre le terrorimse et les vilains pirates, peu importe les dommages collatéraux ou ce que diront ces salauds de gauchistes qui se préoccupent de la vie privée, ce vieux principe du 20e siècle.





Ben ils trichent. La NSA ne peut pas espionner les américains mais le GCHQ si. Donc la NSA demande des infos sur les américains au GCHQ et vice versa. Ainsi chacun respecte ses lois ;)



woodcutter Abonné
Le 23/02/2015 à 21h01







darkbeast a écrit :



alors penche toi en avant ils vont te faire un tour de magie







Ca mérite un&nbsp;<img data-src=" />.



BlackTrust
Le 23/02/2015 à 22h07







Drepanocytose a écrit :



La CIA l’a aussi souvent dit, mais l’histoire a prouvé que c’était souvent faux.





Bah enfait, tous les services secrets du monde entier ne suivent pas de cadre légaux, c’est bien pour cela qu’ils secret, cela donne un confort considérable…



psn00ps
Le 23/02/2015 à 22h31

Je crois que Tchernobyl s’est arrêté à la frontière<img data-src=" /> heu rire jaune en fait <img data-src=" /><img data-src=" /><img data-src=" />


Florent_ATo
Le 24/02/2015 à 01h46

…&nbsp;

Si&nbsp; je ne me trompe pas, le projet en cause arrive en fin de vie et, fait intéressant, je fais justement parti de l’équipe projet en charge de tout refondre.

&nbsp;

Ne jetons pas la pierre trop vite sur Gemalto. Malgré toutes les dispositions en place pour garantir la sécurité de ces informations, nombreux sont les clients à échanger encore de nos jours des identifiants par mail en clair ou dans des fichiers word / excel. C’est une question de culture ou plus simplement la conséquence d’un manque manifeste de sensibilisation des équipes techniques et sous-traitants sur ces problematiques.



C’est d’autant plus grave quand le client en face est une banque qui pèse des milliards et qui discute encore avec nous en SSL v3 ou qui privilégie l’authentification par mdp plutot que par clé asymétriques (exemples).

&nbsp;

Bref, y’a encore du boulot dans la domaine (y compris chez les grosses boites du CAC40…) ;-)



J’attends la conférence avec impatience.&nbsp;&nbsp;


OlivierJ Abonné
Le 24/02/2015 à 09h21







psn00ps a écrit :



Je crois que Tchernobyl s’est arrêté à la frontière<img data-src=" /> heu rire jaune en fait <img data-src=" /><img data-src=" /><img data-src=" />





Il faut vraiment arrêter avec ça, personne ne l’a dit officiellement.



Quand une vérité est aussi ancrée dans la mémoire collective, c’est

souvent qu’il s’agit d’un mythe déconnecté de la réalité, mais répondant

à une opinion ancrée.

Depuis le séisme-tsunami-catastrophe nucléaire au Japon, le débat

nucléaire est animé, en France. C’est peu de le dire. Comme à chaque

fois, il oppose des sachants du nucléaire, qui se pensent à l’abri de

tout soupçon, et des anti, qui les trouvent manipulatoires et

lobbyistes, nous cachant la vérité.

Pour le grand public, le nucléaire est plein d’une mythologie

complexe. On y trouve le général de Gaulle et l’indépendance de la

France, des ingénieurs, et un souvenir, diffus mais certain sur un point

: “au moment de Tchernobyl, en France, on nous menti”, exprimé sous la

forme de “le nuage, qui s’est arrêté à la frontière”.

C’est sans doute la seule vérité communément admise. Pourtant, elle

est délirante. Les autorités françaises n’ont jamais affirmé que le

nuage s’est arrêté à la frontière. Elles ont été transparentes sur leurs

mesures, ont cafouillé comme il se doit dans de tels cas (et comme nos

ministres l’ont fait depuis le début de Fukushima), mais n’ont jamais

été dans le délire narratif de ce style.

L’histoire est très bien expliquée, avec chronologie précise, sur de nombreux sites web. Par exemple http://www.dossiersdunet.com/spip.php?article750” target=”_blank” rel=“nofollow”>ici, ou http://sfp.in2p3.fr/Debat/debat_energie/Nucleaire/Tchernobyl/mythe.html” target=”_blank” rel=“nofollow”>là.

L’information est livrée, l’alerte sur le passage d’un nuage effective.

Les autorités se veulent rassurantes, ont évidemment un enjeu d’ordre

public, d’une part, et de protection de leur filière, de l’autre, mais

livrent leurs données et ne cachent pas un passage de nuage radioactif

en France.

Alors pourquoi ? […]



La suite ici :https://web.archive.org/web/20110830221225/http://www.meilcour.fr/general/le-mythe-du-nuage-de-tchernobyl.html

&nbsp;



Mustard27
Le 24/02/2015 à 10h57

“Gemalto … société néerlandais” c’est vite dit. 



Historiquement Gemalto est et a toujours été française. Gemlato a juste placé une simple boite au lettre aux Pays pour des raisons de fiscalité. Mais le siège, les usines et le R&amp;D sont tous en France.


Donc Gemalto est bien français meme si par des astuces financières (mais légales) ils se sont déclarés aux Pays bas. 




Concernant ce piratage par la NSA et les britannique, je toruve honteux que de tels pays espionne des alliées et partenaires, surtout les anglais qui sont dans l'UE.      


ensuite, je dirais que si Gemalto a été infiltré, nul doute que les autres concurrents aussi, que ce soit Oberthur, Microsoft, Apple, etc.      


Enfin, je dirais que si les faits remontent à 2010 et concernent les cartes 2G, il semble que ce ne soit plus le cas maintenant avec la 3G et 4G qui ont des clefs de cryptage extrèmement plus évoluées et complexes.

Delqvs Abonné
Le 24/02/2015 à 11h50







Alesk a écrit :



Les algos sont là, les outils sont là. Mais faut toujours au final qu’un branqu’ ouvre au pauvre ftp avec tout en clair…







Parfois c’est de l’incompétence, parfois pas…



psn00ps
Le 24/02/2015 à 13h34







OlivierJ a écrit :



Il faut vraiment arrêter avec ça, personne ne l’a dit officiellement. 




 La suite ici :https://web.archive.org/web/20110830221225/http://www.meilcour.fr/general/le-mythe-du-nuage-de-tchernobyl.html       


 &nbsp;




Ils ont minimisé le danger, mythe ou pas. A ce niveau, c’est plus qu’un cafouillage.

Pour sortir du HS, connaissant la NSA, ça fait 2e nuage de Tchernobyl. (pas de fumée…)

3e si j’ajoute les cartes bleues.



jmc007
Le 24/02/2015 à 21h06







Agent Orange a écrit :



La NSA et le GCHQ ont uni leurs forces pour voler ces clés. Ce sont des méthodes de voyous et en principe c’est puni par la loi. Alors ?





En même temps c’est eux qui dictent leurs loi et les politiques leurs lèche l’Arête du cul…<img data-src=" />

<img data-src=" />

&nbsp;



<img data-src=" />



OlivierJ Abonné
Le 25/02/2015 à 08h34







psn00ps a écrit :



Ils ont minimisé le danger, mythe ou pas. A ce niveau, c’est plus qu’un cafouillage. 



Pour sortir du HS, connaissant la NSA, ça fait 2e nuage de Tchernobyl. (pas de fumée...)


3e si j’ajoute les cartes bleues.





Qui ça, ils ?

Quand on regarde bien ce qui a été dit par les autorités, ils ont fait leur travail. Le nucléaire fait peur et peu de gens comprennent les ordres de grandeur en radio-activité.



Fermer