Il n’y a pas eu de « vol massif de clés d'encryptage de cartes SIM ». C’est la conclusion de l’investigation de Gemalto à la suite des révélations sur le piratage dont il a été victime.
Petit rappel des faits. Documents top secret en mains, The Intercept a révélé la semaine dernière que les agences américaine et britannique de renseignement ont infiltré Gemalto, le principal fabricant de cartes SIM, et sont parvenues à dérober des clés de chiffrement. Avec ces clés, la NSA et le GCHQ sont capables de surveiller les communications mobiles en toute discrétion.
Gemalto a alors diligenté une enquête interne dont les conclusions ont été communiquées hier. L’entreprise reconnait d’abord qu’elle a été la cible d’attaques en 2010 et 2011 et que celles-ci « pourraient être liées à l'opération du GCHQ et de la NSA. »
Mais le discours se veut rassurant : « les attaques contre Gemalto n'ayant touché que des réseaux bureautiques, elles n'ont pas pu résulter en un vol massif de clés d'encryptage de cartes SIM. » Les clés qui ont tout de même été subtilisées « ne sont exploitables que dans les réseaux de deuxième génération », poursuit le fabricant. Et d’indiquer que ses autres produits, il produit des puces pour les cartes bancaires et les passeports, ne sont pas concernés par l’attaque.
Gemalto va-t-il se défendre sur le plan juridique ? Non, a répondu le PDG Olivier Piou :
Les faits sont difficiles à prouver juridiquement, et si vous regardez l'historique, attaquer un État est coûteux, long et aléatoire. Nous n'allons pas entreprendre d'action juridique. Les Américains et les Anglais sont déjà dans le XXIe siècle, et la France malheureusement n'a même pas d'outils juridiques pour se défendre.