La société néerlandaise Gemalto a réagi aujourd’hui à la polémique sur la sécurité de ses cartes SIM, menacée par une opération jointe de la NSA et du GCHQ. Ce géant de la puce électronique affirme ainsi qu’au vu des premiers éléments de l’enquête, il n’existe pas vraiment de risque pour les clients.
L’article de The Intercept, basé sur les documents dérobés par Edward Snowden à la NSA, a fait sensation la semaine dernière : une équipe, composée de membres de la NSA et du GCHQ (respectivement les agences de renseignement des États-Unis et du Royaume-Uni), a pu récupérer des millions de clés de chiffrement servant à protéger les communications des cartes SIM auprès de Gemalto. Selon les documents présentés, les analystes avaient pu réussir cette opération grâce à la négligence des envois de clés qui se faisaient, pour certains, par FTP ou simples emails.
Averti mercredi dernier par The Intercept, la société Gemalto avait indiqué qu’elle avait démarré un audit de sécurité immédiatement. Rien ne semblait alors indiquer que les clients étaient menacés, et Gemalto persiste et signe. Dans un communiqué qui vient de paraître, l’entreprise indique : « Les conclusions initiales indiquent que les produits SIM de Gemalto (ainsi que les cartes bancaires, les passeports et les autres produits et plateformes) sont sécurisés, et la société ne s’attend pas à subir un préjudice financier significatif ».
Reste que les conclusions complètes de l’enquête seront détaillées mercredi à 14h00, tandis qu’une conférence de presse spécifique aura lieu à Paris à 10h30.
Commentaires (22)
#1
Il n’y a pas vraiment de risque pour ses clients.
En attendant, une belle aquisition, ce serait dommage de se brouiller avec le gouvernement américain lorsque ce dernier est un gros client.
______
Tweet @electrospaces
Last month, #Gemalto acquired the US manufacturer of government and commercial encryption devices
http://www.safenet-inc.com/SafeNet-Gemalto-Merger/ #safenet
#2
Le truc que je pige pas, c’est que t’as beau faire un audit de sécu, comment être sûr que coté clients c’est pas compromis ?
Si tes clefs ont leaké via vol des emails ou des clefs sur des FTP, tu peux déjà pas savoir lesquelles sont concernées, alors comment ils font pour en être aussi derrière ?
Ils ont pas pu tester des millions de connexions end to end en une semaine…
#3
#4
Comme un commercial IBM m’a déjà dit lorsque je demandais des détails techniques d’une solution qui garantie l’intégrité d’un message :
C’est garanti par contrat !
J’ai faillit l’insulter…
#5
Je crois que l’accusation initale était que tout leur réseau a été piraté.
“Or, les documents montrent que la NSA et le GCHQ ont uni leurs forces
pour former une équipe spéciale, nommée MHET (pour Mobile Handset
Exploitation Team), qui est parvenue à s’infiltrer dans le réseau de
Gemalto en avril 2010.” ici
les agents du GCHQ ont pour cela surveillé de près certains employés de l’entreprise, jusque dans les réseaux sociaux, à la recherche d’une étourderie qui aurait permis de s’infiltrer.
Gemalto n’a trouvé aucune trace de l’intrusion pour l’instant
Donc on parle bien d’un audit sur leur réseau.
#6
La NSA et le GCHQ ont uni leurs forces pour voler ces clés. Ce sont des méthodes de voyous et en principe c’est puni par la loi. Alors ?
#7
#8
#9
« Les conclusions initiales indiquent que les produits SIM de
Gemalto (ainsi que les cartes bancaires, les passeports et les autres
produits et plateformes) sont sécurisés, et la société ne s’attend pas à
subir un préjudice financier significatif »
Les données des clients, rien à foutre.
Ce qui compte, c’est que le cours de l’action ne baisse pas. Fuck le reste " />
#10
La NSA a toujours dit agir dans le respect de la loi américaine. Et vu qu’on lui a donné les pleins pouvoirs, elle est dans les clous. J’imagine que c’est pareil pour le GCHQ, il faut lutter contre le terrorimse et les vilains pirates, peu importe les dommages collatéraux ou ce que diront ces salauds de gauchistes qui se préoccupent de la vie privée, ce vieux principe du 20e siècle.
#11
#12
#13
#14
#15
Je crois que Tchernobyl s’est arrêté à la frontière" /> heu rire jaune en fait " />" />" />
#16
…
Si je ne me trompe pas, le projet en cause arrive en fin de vie et, fait intéressant, je fais justement parti de l’équipe projet en charge de tout refondre.
Ne jetons pas la pierre trop vite sur Gemalto. Malgré toutes les dispositions en place pour garantir la sécurité de ces informations, nombreux sont les clients à échanger encore de nos jours des identifiants par mail en clair ou dans des fichiers word / excel. C’est une question de culture ou plus simplement la conséquence d’un manque manifeste de sensibilisation des équipes techniques et sous-traitants sur ces problematiques.
C’est d’autant plus grave quand le client en face est une banque qui pèse des milliards et qui discute encore avec nous en SSL v3 ou qui privilégie l’authentification par mdp plutot que par clé asymétriques (exemples).
Bref, y’a encore du boulot dans la domaine (y compris chez les grosses boites du CAC40…) ;-)
J’attends la conférence avec impatience.
#17
#18
“Gemalto … société néerlandais” c’est vite dit.
Donc Gemalto est bien français meme si par des astuces financières (mais légales) ils se sont déclarés aux Pays bas.
#19
#20
#21
#22