Vol de clefs de chiffrement : conséquences possibles

Par SwissTengu @SwissTengu @SwissTengu — 20.02.2015
Décidément, la semaine est chargée : après Lenovo et ses partenariat commerciaux boiteux, on apprend que nos chers amis de la NSA et du GCHQ ont volé plusieurs millions de clefs cryptographiques employées par les cartes SIM.
La principale cible est le fournisseur Gemalto1 l'annonce provient de First Look2, après analyse des documents fournis par Edward Snowden3, en 2013.

Gemalto ne confirme ni n'infirme4 l'annonce pour le moment. Mais il convient de s'intéresser à ce que signifie, pour la protection de nos communications, un pareil vol.

Mobile ID
Vous savez, ce moyen merveilleux de valider votre identité5 auprès de certaines entités, comme Postfinance6 par exemple.

Il se base, bêtement, sur la carte SIM et sa sécurité… Sécurité qui est donc, à priori, explosée ou, à tout le moins, fortement diminuée. Au temps pour la simplification des authentifications.

Cartes SIM pour paiement sans contact
Oui, le NFC peut aussi se retrouver directement intégré à votre carte SIM7, profitant là encore des capacités de sécurisation de ce petit bidule.

Bon, donc là aussi, ça prend une baffe.

Communications
La partie "crypto" embarquée dans les cartes SIM a plusieurs rôles, dont celui de vous authentifier auprès des antennes. Ou encore de chiffrer vos communications avec ces antennes. Et ce sont ces clefs de chiffrement qui ont été volées. Donc la clef de vos communications.

Déjà que la communication mobile n'était pas un exemple de sécurité8, mais là ça devient carrément catastrophique.

Nos fournisseurs nationaux de téléphonie mobile se gardent bien de répondre aux différentes questions posées sur les réseaux sociaux. Les médias ne semble pas non plus s'y intéresser (pensez donc, HSBC se fait enfin tacler, et DSK est relaxé) — du coup, il y a fort à parier que rien ne filtrera dans notre beau pays peuplé de licornes roses et de bisounours tout mignons.

En tant que client, vous, cher lecteur, devriez pouvoir accéder au service client et insister pour savoir si votre fournisseur de service emploie des cartes SIM fournies par Gemalto, et ce qu'il compte faire dans le cas où les révélation de Snowden se révèlent, une fois de plus, exactes.

Il en va de la sécurité de vos données, de vos communications. Vous n'avez, certes, "rien à cacher" : vous n'êtes pas un terroriste en phase de radicalisation, ni un pédophile croqueur de chatons. Mais cela n'est en aucun cas une raison pour laisser faire — une puissance étrangère qui agit de la sorte devrait être mise au pilori.
On n'est pas loin d'un acte de guerre, d'autant que Gemalto n'est ni un fournisseur d'armes, ni un trafiquant, ni un ennemi. Juste une entreprise privée bossant dans la crypto. Ça aurait pu être n'importe qui d'autre.
D'ailleurs, il semblerait que Gemalto ne soit pas la seule à s'être faite exploser.

Il est plus que temps de saisir les autorités, de faire ouvrir des enquêtes sur les agissements de la NSA, du GCHQ, des liens du SRC9 et du DFJP10 avec les services et fournisseurs étrangers11.
Et, pourquoi pas, le DDPS12 tant qu'on y est, plus particulièrement la partie "Armée Suisse" :  les drones achetés proviennent d'un pays ne respectant pas vraiment les droits de l'homme et faisant tout pour annihiler une population locale…

Nous, citoyens suisses, avons les moyens de faire bouger les choses. Nous pouvons alerter nos représentants au gouvernement. Nous pouvons imposer des changements.

Nous devons le faire, pour que notre démocratie perdure malgré la multiplication des attaques extérieures. Ça commence par la protection de notre sphère privée.


Commentaires (2)

par SwissTengu — 20.02.2015, 16:13 — PermaLink
Petite correction : Orange vient de répondre — ça laisse supposer qu'ils seraient affectés si Gemalto s'est fait exploser…
par SwissTengu — 20.02.2015, 16:28 — PermaLink
Et c'est le tour de Swisscom de répondre.

Un article est sorti entre deux sur la RTS.

Les réponses sur Twitter sont calibrées, et sont sans doute resservies à toute personne posant des questions sur Gemalto.
Ajouter un commentaire