Gemalto

Ma carte SIM est un mouchard

d'Lëtzebuerger Land du 27.02.2015

Les révélations sur les pratiques liberticides des agences de renseignement se suivent et sont à chaque fois plus atterrantes. La dernière fournée servie par le site The Intercept, qui repose sur l’analyse de documents fournis par le sonneur d’alerte Edward Snowden et concerne le vol systématique de clés d’authentification de cartes SIM produites par la firme Gemalto, ne déroge pas à la règle. On y apprend que dans les années 2009-2010, agissant comme éclaireur de la NSA, les services britanniques du GCHQ ont activement espionné des employés de Gemalto pour mettre la main sur des quantités « sidérantes » de ces clés, qu’ils ont partagé avec leurs homologues américains. Objectif : en testant ces dizaines de millions de clés sur des interceptions de communications sans fil, parvenir à écouter des conversations téléphoniques sans avoir à passer par une écoute autorisée par un juge.

Les documents présentés par The Intercept ne laissent aucun doute sur le caractère systématique des menées du GCHQ, et ils laissent pantois. On découvre que ses agents ont utilisé des méthodes de hacking agressives à l’encontre d’employés de Gemalto susceptibles d’opérer le transfert en masse de clés d’authentification, dites KIs, aux opérateurs de télécoms, afin de piéger leurs communications et s’approprier les fichiers transférés. Dans leurs présentations, ils se vantent d’avoir mis la main sur de grandes quantités de ces clés et de les avoir partagés « utilement » avec leurs homologues du NSA.

Clairement, compte tenu du rôle de Gemalto, qui produit la majeure partie des cartes SIM utilisées dans le monde, ces espions étaient engagés sans le moindre scrupule dans un « hold-up » de données à caractère privé, et ce non pas en visant des suspects, mais les employés d’une firme dont ils souhaitaient s’approprier les données. L’un de ces employés, basé en Thaïlande, avait été repéré parce qu’il utilisait le logiciel de crypage PGP (Pretty Good Privacy), ce qui faisait dire à l’agent du GCHQ rédigeant son compte-rendu que cela indiquait qu’il pourrait être le cas échéant « un bon point de départ » dans ce qu’il appelle les « efforts futurs contre Gemalto ».

S’agissant de données massives qu’ils interceptaient avant même que les cartes SIM correspondantes n’aient été déployées, il s’agissait donc bien de stocker des clés à titre « préventif » pour organiser par la suite des écoutes illégales. L’affirmation du président Obama en janvier 2014 sur le scandale de la NSA selon laquelle « les gens à travers le monde, quelle que soit leur nationalité, doivent savoir que les États-Unis n’espionnent pas les gens ordinaires qui ne menacent pas notre sécurité nationale et que nous prenons leurs préoccupations en matière de sphère privée en compte dans nos politiques et procédures » s’avère donc être parfaitement fausse. Les services de renseignement américains et leurs alliés britanniques avaient la bride sur le cou et s’estimaient assurés d’impunité.

Face à ces nouvelles révélations, on peut être tenté par le cynisme. Pourquoi s’étonner, compte tenu des révélations qui ont précédé ? Pourquoi se scandaliser, alors que le mal est fait ? Lors d’une séance de questions-réponses « AMA » (ask me anything) sur Reddit, Edward Snowden a souligné cette semaine que pour réparer les dommages causés par cette opération des services américains et britanniques et rétablir des garanties acceptables quant au caractère privé de nos communications téléphoniques, il faudrait remplacer les milliards de cartes SIM en utilisation dans le monde : ni plus ni moins. Une perspective qui semble très peu réaliste et qui montre à quel point nous nous sommes collectivement laissé berner et enfumer.

Il est fréquent, face à ces révélations à répétition sur les abus des services de renseignement, de recommander l’utilisation, à titre individuel, de logiciels d’encryptage. Sans surprise, on constate que l’utilisation de tels logiciels suffit à attirer l’attention des services d’espionnage : elle reviendrait donc à se désigner soi-même comme cible légitime des efforts d’interception. Seul un sursaut citoyen international est désormais capable d’aboutir à un meilleur ancrage dans les législations et dans les pratiques policières de la protection de nos sphères privées.

Jean Lasar
© 2017 d’Lëtzebuerger Land