Gemalto minimise le vol de données et ne déposera pas plainte

Gemalto minimise le vol de données et ne déposera pas plainte

Circulez, il n'y a presque rien à voir

Avatar de l'auteur
Vincent Hermann

Publié dans

Internet

25/02/2015 5 minutes
35

Gemalto minimise le vol de données et ne déposera pas plainte

Comme prévu, Gemalto a fini par publier un nouveau communiqué de presse et donner une conférence ce matin. L’entreprise, ciblée par la NSA et le GCHQ en 2010 et 2011, reconnait avoir été la victime d’une attaque très sophistiquée, mais les données volées seraient selon elles bien peu nombreuses, contredisant de fait certaines informations de The Intercept.

Les tentatives d'intrusions détectées rendent l'opération « probable »

Résumé de ce que l’on savait au sujet de Gemalto. L’entreprise, l’un des plus gros fournisseurs de cartes SIM au monde, a été attaquée en 2010 et 2011, avec pour résultat le vol d’un grand nombre de clés de chiffrement. Ces informations, présentées par The Intercept sur la base de documents dérobés par Edward Snowden, montraient clairement que le vol était important et que Gemalto ne protégeait pas tous les envois de clés aux opérateurs mobiles.

L’affaire a fait rapidement grand bruit. Et pour cause : armés des clés de chiffrement, les analystes ont la capacité par exemple de construire de fausses antennes aptes à récupérer les données de conversations vocales, SMS, MMS et ainsi de suite. Mais si les documents abordaient directement l’obtention des infos et la manière dont les agences de renseignement avaient pénétré les réseaux de Gemalto, ils n’indiquaient pas vraiment comment ces informations avaient pu être exploitées.

Dans son communiqué de presse publié ce matin, Gemalto aborde frontalement la situation. L’entreprise publie ainsi les conclusions d’un audit commencé la semaine dernière, après l’avertissement et les informations envoyés par The Intercept. D’après les résultats, Gemalto estime que l’opération orchestrée par la NSA et le GHCQ est « probable », des attaques ayant été détectées en 2010 et 2011.

Selon Gemalto, la situation est bien moins grave qu'il n'y paraît

Cependant, la société nie rapidement que cette opération aurait permis la récupération d’un grand nombre de données sensibles. Elle explique ainsi que les attaques « n'ayant touché que des réseaux bureautiques, elles n'ont pas pu résulter en un vol massif de clés d'encryptage de cartes SIM ». Gemalto revient également sur les envois de clés de chiffrement aux opérateurs, la firme indiquant qu’elle réalisait ces opérations de manière sécurisée « avant 2010 » et que le système d’échange sécurisé était alors « largement déployé ». D’ailleurs, Gemalto sous-entend que dans les cas où de tels échanges sécurisés n’étaient pas en place, il s’agissait d’un choix des opérateurs.

Gemalto continue sur des conclusions dont elle espère visiblement qu’elles donneront un sérieux coup au soufflet de l’affaire. Ainsi, l’entreprise affirme que les clés qui ont été dérobées (visiblement en petit nombre) « ne sont exploitables que dans les réseaux de deuxième génération (2G) ». Conséquence, tous les réseaux 3G et 4G sont protégés par d’autres technologies de chiffrement, gommant ainsi des faiblesses des précédentes. En d’autres termes, les utilisateurs qui ne passent jamais par de la 2G ne seraient pas concernés par un piratage de leurs données. En tout cas, pas par ce biais.

Même si Gemalto reconnait que les attaques de 2010 et 2011 étaient « particulièrement sophistiquées », elle nie donc des conséquences graves. Elle affirme également qu’elles n’ont touché que « la partie externe » de son réseau, « architecturé pour être très sécurisé ». Elle ajoute qu’il n’y a pas eu d’autres intrusions, notamment « dans les autres parties du réseau sécurisé qui gèrent d'autres produits, tels que les cartes bancaires, les cartes d'identité et les passeports électroniques ».

La société se dit « préoccupée », mais ne déposera pas plainte

L’entreprise semble émerger d’une prise de conscience : « Toutefois, Gemalto est bien conscient du fait que les plus éminentes agences d'espionnage, surtout lorsqu'elles font équipe, possèdent des ressources et des appuis juridiques qui dépassent de loin les moyens à la disposition des pirates et autres organisations criminelles ordinaires. Nous restons néanmoins préoccupés par le fait que des autorités d'État aient pu lancer de telles opérations contre des sociétés privées non coupables d'agissements suspects ».

Et maintenant ? Il n’y a pas pour Gemalto de tensions particulières avec ses clients : « Nos équipes ont tout particulièrement apprécié le soutien dont ils nous ont fait preuve en cette période inédite ». La priorité pour la société est donc « l’écoute » de leurs besoins. Elle ne compte par ailleurs pas communiquer davantage sur le sujet, à moins que de nouveaux éléments ne l’y forcent. Une surveillance accrue des infrastructures réseaux a tout de même été mise en place.

Étrangement, Gemalto n’envisage pas de déposer plainte, car le processus, contre un État, serait « trop long, aléatoire et coûteux », comme l’a indiqué le PDG Olivier Piou, durant la conférence de ce matin. Il existe selon lui un vrai problème de faits qui restent « difficiles à prouver d’un point de vue juridique ». Plus étonnant, la société n’envisage même pas de prendre contact avec la NSA et le GCHQ, estimant qu’il s’agirait d’une « perte de temps ».

Bien entendu, un procès obligerait Gemalto à dévoiler de nombreux détails sur la manière dont la sécurité a été gérée ou encore sur ce qui a précisément été dérobé. Avec cette posture purement communicante, l'entreprise évite cette étape potentiellement douloureuse.

35

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Les tentatives d'intrusions détectées rendent l'opération « probable »

Selon Gemalto, la situation est bien moins grave qu'il n'y paraît

La société se dit « préoccupée », mais ne déposera pas plainte

Commentaires (35)




Plus étonnant, la société n’envisage même pas de prendre contact avec la NSA et le GCHQ, estimant qu’il s’agirait d’une « perte de temps ».

Ou alors ils ont déjà pris contact, et ça explique pourquoi ils déposent pas plainte&nbsp;<img data-src=" />


euh …vendu ?



Quand tu vois que l’entreprise Française qui a inventé des puces ultra protégées avait été acheté par des Américains …et que cela reste dans la cave….


Okay… on se fait volait des données ou au moins tentative, mais c’est pas grave on porte pas plainte… vaste blague cette nsa&nbsp;




Plus étonnant, la société n’envisage même pas de prendre contact avec la NSA et le GCHQ, estimant qu’il s’agirait d’une « perte de temps ».

C’est logique, la NSA et le GCHQ nieront forcement toute tentaive d’intrusion dans les systémes informatique d’une société “amie”


Et ne pas oublier la présomption d’innocence <img data-src=" />



<img data-src=" />


ben non, ils ne vont pas déposer plainte car ILS BOSSENT AVEC la NSA et le GCHQ !!!

Pardi.


On a compris le message : circulez y a rien à voir !

C’est un peu facile.



Et sinon ça dérange personne qu’il nous annoncent avoir arrêté les échanges de manière sécurisée à partir de 2010 ?








unCaillou a écrit :



On a compris le message : circulez y a rien à voir !

C’est un peu facile.



Et sinon ça dérange personne qu’il nous annoncent avoir arrêté les échanges de manière sécurisée à partir de 2010 ?





<img data-src=" /> M’est avis que ce qu’ils disent c’est qu’ils n’ont pas commencé à échanger de manière sécurisée en 2010 mais déaj avant.



En gros, on s’est fait sodomisé a sec avec du gravier par la NSA et consort mais on ne portera pas plainte car tout le monde aura accès à la vidéo des faits.



L’attitude de cette entreprise est déconcertante et intrigante. il y a beaucoup d’éléments croustillants qu’on nous cache…


Les mecs sont conscient qu’ils ne peuvent pas gagner. Les piratages de la NSA sont légitimes, c’est les gentils contre les méchants forcement terroristes, avec ça tout est légitime n’est-ce pas. Se mettre à dos les ricains c’est contre-productif.&nbsp;



C’est assez drôle quand il préconise de se fournir en routeur américain plutôt qu’en routeur chinois.



A quand la prochaine polémique maintenant.


oui … enfin franco italienne … et gem+ à été fondé par des ex-employé de ST qui on eu l’autorisation d’exploiter les brevet que ST avait développé pour les cartes à puces … en gros on est dans le même réseau professionnel, et je crois que GemAlto travail toujours avec ST …. mais ça je ne suis pas certain….&nbsp;


Là par contre je comprends pas trop comment tu as fait pour comprendre ça&nbsp;<img data-src=" />


ça c’est peut-être réglé à coup de $$$.








Vincent, dans l’article, a écrit :



Gemalto revient également sur les envois de clés de chiffrement aux opérateurs, la firme indiquant qu’elle réalisait ces opérations de manière sécurisée « avant 2010 » et que le système d’échange sécurisé était alors « largement déployé ».





Si tu précises “avant 2010”, j’en conclue que ça n’est pas le cas après. Sinon tu dirais “depuis 2002” ou “a toujours réalisé ces opérations de manière sécurisée”.



Peut-être que j’ai mal compris, mais je dois pas être le seul.



Bonjour, nous avons bien reçu les pots de vins et le menaces americano-britanniques, ainsi nous démentons et minimisons tout ce qui s’est passé et fermeront les yeux à l’avenir sur d’autres intrusions de gouvernements étrangers chez qui nous avons des clients.

Merci de continuer à acheter nos produits et nos actions.


Donc ce que dit Eric FILIOL sur le torpillage SYSTÉMATIQUE par les lobby americains de nos boites est juste … VRAI ?


Oui on va éviter de troo creuser, on risquerais de trouver des trucs





Mais sinon, l’anssi n’a pas commenté? Gemalto m’est pas d’importance stratégique?


“Avant 2010” sous-entendu les échanges étaient déjà chiffrés au moment du piratage (en 2010 donc).








unCaillou a écrit :



Si tu précises “avant 2010”, j’en conclue que ça n’est pas le cas après. Sinon tu dirais “depuis 2002” ou “a toujours réalisé ces opérations de manière sécurisée”.



Peut-être que j’ai mal compris, mais je dois pas être le seul.









Doomshine a écrit :



“Avant 2010” sous-entendu les échanges étaient déjà chiffrés au moment du piratage (en 2010 donc).





Voilà, je parle de 2010 puisque c’est l’année où ont commencé les échanges. Gemalto indiquait que les échanges sécurisés avaient commencé avant. Mais puisqu’on ne sait pas quand exactement, je ne pouvais pas utiliser “depuis”.



Ok, mea culpa, j’ai l’esprit tordu. <img data-src=" />


Je vais bien, tout va bien.

Je suis gai, tout me plait…

<img data-src=" />

&nbsp;

Perso, je donne pas cher de l’avenir de cette entreprise.

Entre les piratages “sans gravité” et la disparition progressive des cartes à puce (numéros virtuels), je me demande bien comment les investisseurs peuvent encore avoir confiance en cette société adepte de la méthode Hollande.




Étrangement, Gemalto n’envisage pas de déposer plainte, car le processus, contre un État, serait « trop long, aléatoire et coûteux », comme l’a indiqué le PDG Olivier Piou, durant la conférence de ce matin.



Je ne vois rien d’étrange : ils n’ont rien à y gagner et tout à y perdre lorsque cela empoisonnera leurs relations avec leurs clients américains.



Ce genre d’affaires d’espionnage entre une entreprise et un état se règle normalement au niveau gouvernemental. Du temps de De Gaulle ça aurait fulminé dans les chaumières et on aurait obtenu des excuses ou des concessions en retour. Du temps de Hollande on a probablement téléphoné à Obama pour nous excuser de le gêne occasionnée et ordonné à Gemalto de laisser couler. Hollande est quand même le type qui avait réagi à la sodomie à sec de la NSA par une offre de “collaboration” (sic).





Il existe selon lui un vrai problème de faits qui restent « difficiles à prouver d’un point de vue juridique ». Plus étonnant, la société n’envisage même pas de prendre contact avec la NSA et le GCHQ, estimant qu’il s’agirait d’une « perte de temps ».



Je ne vois rien d’étonnant, ce serait effectivement une perte de temps.








ledufakademy a écrit :



Faut qu’on développe du matos avec ça (STelec est une boite française)



http://www.st.com/st-web-ui/static/active/en/resource/technical/document/datashe…



peut etre .



Tu parles d’une boite qui risque de couler ou &nbsp;de se faire racheter par un concurrent étranger ? ^^





durthu a écrit :



En gros, on s’est fait sodomisé a sec avec du gravier par la NSA et consort mais on ne portera pas plainte car tout le monde aura accès à la vidéo des faits.



L’attitude de cette entreprise est déconcertante et intrigante. il y a beaucoup d’éléments croustillants qu’on nous cache…



La posture de Gemalto est compréhensible, ils ont peut être prévu de renouveler les clés en question et les puces qui ont avec auprès des opérateurs en questions.



Après, Gem le précise, les échanges non chiffrés l’étaient sur demande du client, gem ne peut pas être considéré fautif de e point de vue là.

Ce qui est croustillant, c’est surtout quels sont les clients, qui, pour ce type de “produits” ont demandé un échange non sécurisé. Parce que la, eux ils peuvent perdre des clients.





MoonRa a écrit :



Les mecs sont conscient qu’ils ne peuvent pas gagner. Les piratages de la NSA sont légitimes, c’est les gentils contre les méchants forcement terroristes, avec ça tout est légitime n’est-ce pas. Se mettre à dos les ricains c’est contre-productif.&nbsp;



C’est assez drôle quand il préconise de se fournir en routeur américain plutôt qu’en routeur chinois.



A quand la prochaine polémique maintenant.



+1 pour la première partie <img data-src=" />

Sert à rien de dépenser du temps et de l’argent pour une démarches perdues d’avance.

Si y’a des &nbsp;coûts annexes, ils les porterons en charge sur l’exercice.





Pong a écrit :



oui … enfin franco italienne … et gem+ à été fondé par des ex-employé de ST qui on eu l’autorisation d’exploiter les brevet que ST avait développé pour les cartes à puces … en gros on est dans le même réseau professionnel, et je crois que GemAlto travail toujours avec ST …. mais ça je ne suis pas certain….&nbsp;



Gem bosse toujours avec ST, comme beaucoup d’encarteurs d’ailleurs, sinon y’a Samsung qui fourni ce type de composants, etc…





psikobare a écrit :



Oui on va éviter de troo creuser, on risquerais de trouver des trucs





Mais sinon, l’anssi n’a pas commenté? Gemalto m’est pas d’importance stratégique?



L’anssi n’a pas vocation a commenté officiellement et systématiquement ce genre d’évènements, d’autant que c’était avant la date d’obligation de déclaration à ce qui est devenu l’anssi toute intrusion dans son SI.





Les déclarations de piratages sont obligatoires pour toutes les boites maintenant, les OIV & Co ont des obligations autres par ailleurs.

L’anssi à par contre pris contacte avec eux je pense, afin d’améliorer la sécurité chez eux, et chez les autres sociétés, éventuellement le passer sous forme d’obligation, ce qu’ils ont le droit de faire depuis quelques mois.

&nbsp;



js2082 a écrit :



Je vais bien, tout va bien.

Je suis gai, tout me plait…

<img data-src=" />

&nbsp;

Perso, je donne pas cher de l’avenir de cette entreprise.

Entre les piratages “sans gravité” et la disparition progressive des cartes à puce (numéros virtuels), je me demande bien comment les investisseurs peuvent encore avoir confiance en cette société adepte de la méthode Hollande.



Le jour où la carte à puce va s’arrêter c’est as pour tout de suite, que e soit pour les contrôles d’accès, le transport, le paiement, les téléphones, …

Surtout pour la téléphonie, les opérateurs n’ont pas vraiment envie de se passer de carte SIM, entre le coût de production, et la facturation ils se font une tite marge sympa dessus je pense, vu le nombre qu’il commentant à Gem & Co.









the_Grim_Reaper a écrit :



Surtout pour la téléphonie, les opérateurs n’ont pas vraiment envie de se passer de carte SIM, entre le coût de production, et la facturation ils se font une tite marge sympa dessus je pense, vu le nombre qu’il commentant à Gem & Co.





Un euro, la carte à puce. La marge dessus ne doit pas être énorme, hein.



Par contre, sa disparition est bel et bien prévue dans les téléphones. Ce seront d’ailleurs les premiers à s’en débarrasser.

La Sim amovible ne va laisser plus que place à une mémoire fixée dans le smartphone, modifiable de façon logicielle à l’envie et&nbsp; qui n’aura de sim que le nom.

(Gemalto a d’ailleurs chuté en bourse après l’annonce de l’Apple SIM).



&nbsp;









js2082 a écrit :



Un euro, la carte à puce. La marge dessus ne doit pas être énorme, hein.



Par contre, sa disparition est bel et bien prévue dans les téléphones. Ce seront d’ailleurs les premiers à s’en débarrasser.

La Sim amovible ne va laisser plus que place à une mémoire fixée dans le smartphone, modifiable de façon logicielle à l’envie et&nbsp; qui n’aura de sim que le nom.

(Gemalto a d’ailleurs chuté en bourse après l’annonce de l’Apple SIM).



&nbsp;





La carte à 1€, ça dépend de l’encarteur et de ce que t’as dedans.

Y’a des cartes qui, du points de vue techno coûtent bien plus cher, même si vu les volumes ils doivent avoir de sacré rabais.



Gem à plongé, mais au final, c’est ultra localisé, les opérateurs ne sont pas pour justement, regarde ce qui se passe avec justement Appel et les opérateurs aux US. Le principe de la sim bloqué dans un produit &nbsp;non déverrouillable.

&nbsp;La fin de la SIM amovible n’est pas pour tout de suite, même si Apple veut forcer la main, en cas de clash, ça finira par des produits Apple vendus nus, des crédits conso en pagailles pour des produits à 1k€, pas sure que les clients adhérent à sa, juste de voire le tarif réels ça en bloque certains.



Après, le principe de la sim virtuel dans le téléphone, je suis tout à fait pour, mais avec des prérequis sur la techno, la sécurité, etc .. (trustzone, tpm, …). Pour le moment, y’a encore aucun produit qui s’appuis dessus dans le monde mobile grand publique.

Pour faire le parallèle, regarde aussi le paiement dématérialisé, le NFC puis ça devaient tuer les CB, au final, les CB sont toujours la, le NFC décolle pas.



Gemalto a déjà été au centre d’une autre affaire d’espionnage à l’époque où elle s’appellait encore Gemplus. &nbsp;En 2000 la société veut conquérir le marché américain et accepte de recevoir du financement du groupe Texas Pacific Group (TPG) en échange de parts dans la société. Fatale erreur car TPG agit en cheval de Troie et utilise ses parts pour permettre à In-Q-Tel, le fonds d’investissement de la CIA, de prendre le contrôle de Gemplus. A partir de ce moment le siège de la société est transféré en Californie et les US siphonent technologies, brevets et savoir-faire cryptographique. En 2006 l’état Français se réveille et rachète une part majoritaire de Gemalto (renommée entre temps), cependant il est déjà bien trop tard, et les US sachant tout ce qu’ils voulaient savoir, revendent leurs parts.



Relaté dans l’émission Rendez-vous avec X :

http://www.franceinter.fr/emission-rendez-vous-avec-x-l-affaire-gemplus


Plus que l’amateurisme de Gemalto sur ce coup là, plus que leur hypocrisie, plus que le cynisme de la NSA / GCHQ, moi ce qui me frappe dans cette affaire, c’est que la plus grosse faille de sécurité là dedans, vient du fait de la concentration des marchés.



Si Gemalto n’était pas majoritaire sur ce marché, mais s’il y avait de multiples opérateurs, toute fuite aurait mathématiquement des conséquences bien moins graves.



La concentration c’est toujours du risque en plus, malgré les avantages apportés. TOUJOURS.








ledufakademy a écrit :



Faut qu’on développe du matos avec ça (STelec est une boite française)



http://www.st.com/st-web-ui/static/active/en/resource/technical/document/datashe…



peut etre .





franco italienne, avec un siége fiscal en suisse… et un PSE en france.



Si ça se trouve, ils ont reçu une “security letter” qui leur interdit tout, y compris de dire qu’ils ont reçu cette lettre.

La NSA et le GCHQ ont peut-être trouvé un moyen de fliquer les SIMs _avec_ la complicité de cette boite.



cf les pépins avec cette boite de messagerie sécurisée dont le nom m’échappe, et qui a fermé du jour au lendemain suite à une de ces “security letter”.

&nbsp;

cf également l’initiative de la FSF pour placer des “canaris” sur les sites, à l’image des oiseaux qui accompagnaient les mineurs : le canari disparait = il y a eu “security letter”.


les security letter c’est quand la boite est sous la juridiction du pays qui fait l’intrusion ton exemple c’était aux states.

Je vois mal une boite française se faire menacer juridiquement par les ricains cars ils leurs ouvrent pas les portes de clefs secrètes. Par contre les menacer d’autre choses, genre vos cartes seront invendables aux US , ça on est d’accord…








js2082 a écrit :



Un euro, la carte à puce. La marge dessus ne doit pas être énorme, hein.



Un centime, le SMS. La marge dessus ne doit pas être énorme, hein. <img data-src=" />



Donc 4 ans après, ils sont capables de savoir qu’ils ne se sont rien fait voler de significatif. Ils sont bien sûr d’eux…


Lavabit ?



&nbsp;Enfin comme fumoffu dit, c’est pas le même pays donc pour faire pression juridiquement c’est pas aussi facile pour la NSA et autres GCHQ…&nbsp;

&nbsp;Enfin je pense qu’ils ont surement d’autres moyens ..&nbsp;








HarmattanBlow a écrit :



Je ne vois rien d’étrange : ils n’ont rien à y gagner et tout à y perdre lorsque cela empoisonnera leurs relations avec leurs clients américains.



Ce genre d’affaires d’espionnage entre une entreprise et un état se règle normalement au niveau gouvernemental. Du temps de De Gaulle ça aurait fulminé dans les chaumières et on aurait obtenu des excuses ou des concessions en retour. Du temps de Hollande on a probablement téléphoné à Obama pour nous excuser de le gêne occasionnée et ordonné à Gemalto de laisser couler. Hollande est quand même le type qui avait réagi à la sodomie à sec de la NSA par une offre de “collaboration” (sic).





Tristement vrai…