Affaire Gemalto

//Affaire Gemalto

Affaire Gemalto

Par | 2015-04-21T17:46:43+01:00 avril 21st, 2015|Blog|

C’est l’information qui a fait la une de l’actualité ce début d’année.

Les révélations d’Edward SNOWDEN ont dévoilé un problème qui touche la société GEMALTO, le numéro un mondial des fabricants de cartes SIM.
La société est au cœur d’une affaire impliquant les services secrets Américains (NSA) et britanniques (GCHQ), qui auraient volé et piraté les clés de chiffrement inscrites dans les cartes SIM fabriquées par GEMALTO.
Ainsi, il se pourrait que ces cartes SIM piratées, celles qu’on trouve entre autres dans nos smartphones par exemple, auraient permis l’écoute et l’espionnage des conversations. Les espions pourraient alors avoir un accès direct aux communications, en déverrouillant les SMS protégés et les appels téléphoniques, sans passer par les opérateurs ni les gouvernements étrangers.
C’est une information qui ne date pas d’hier, le Washington Post ayant déjà divulgué un article à ce sujet suite aux révélations de Snowden en décembre 2013 : Voir l’article

Dans le détail, que sont ces clés et à quoi servent-elles ?

Dans la norme GSM, des techniques de sécurité ont été mises en place afin d’assurer notamment :

  • La confidentialité de l’abonné
  • L’authentification de l’abonné
  • La confidentialité des données
  • La confidentialité de la signalisation

En effet, ces mesures sont nécessaires car l’emploi d’un canal radio rend les communications vulnérables aux écoutes et aux utilisations frauduleuses.
Pour mettre en œuvre les fonctions d’authentification et de chiffrement des informations transmises sur la voie radio, GSM utilise les éléments suivants :

  • Des nombres aléatoires RAND,
  • Une clé Ki pour l’authentification et la détermination de la clé Kc,
  • Un algorithme A3 fournissant un nombre SRES à partir du nombre RAND et de la clé Ki,
  • Un algorithme A8 pour la détermination de la clé Kc à partir de RAND et Ki,
  • Un algorithme A5 pour le chiffrement / déchiffrement des données à partir de la clé Kc.

La clé d’authentification Ki est propre à chaque abonné. Elle est attribuée lors de l’abonnement, est stockée dans la carte SIM et connue du réseau (stockée dans le core-network, dans l’AuC (Authentification Center). La clé Ki n’est jamais transmise à travers le réseau, ni sur l’interface radio, ni entre les équipements fixes.

gemalto



















Les algorithmes A3, A5 et A8 sont quant à eux les mêmes pour tous les abonnés d’un même réseau.

La clé de chiffrement Kc est obtenue par l’algorithme A8 avec les paramètres Ki et un nombre aléatoire RAND.
Grâce à Kc, l’algorithme A5 produit une séquence de bits aléatoires Ai qui font une fonction OU EXCLUSIF (XOR) avec les données à chiffrer Di. Kc n’est jamais transmis sur l’interface radio.

gemalto2
























On comprend donc aisément que, une fois la clé Ki en main, quiconque intercepterait une communication serait en mesure de la déchiffrer et d’accéder à son contenu. De plus, ce procédé ne permet pas à un opérateur de s’apercevoir du piratage, et ne laisse aucune trace sur le réseau.
Notons toutefois que cette méthode s’applique aux réseaux GSM de seconde génération (2G), développés dans les années 80. Cette faille est connue et les opérateurs sont censés renforcer leurs mécanismes de sécurité. Les réseaux 3G et 4G ne sont pas concernés par ce type d’attaque.

Pour en revenir au cas particulier de GEMALTO, la société se défend sur cette affaire dans un communiqué de presse (25 février 2015) :

  • Les investigations ont montré un lien entre les récents événements et les attaques sophistiquées subies par la société en 2010 et 2011 ; les services de renseignements NSA et GCHQ se retrouvent fortement impliqués.
  • Les attaques perpétrées contre GEMALTO ont touché uniquement le réseau de « bureau », et non le réseau « industriel ». Cela n’a donc pas pu conduire à un vol massif de clés de sécurité.
  • Les clés auraient été interceptées pendant l’échange entre les fournisseurs et les opérateurs mobiles. Depuis 2010, GEMALTO a déployé très largement un système de transfert sécurisé.
  • Aucun autre produit de la société (cartes bancaires, cartes d’identité, passeports électroniques…) n’a été impacté.

Les services de renseignements ont utilisé des méthodes d’attaque connues et très ciblées pour accéder aux informations leur permettant d’obtenir ces précieuses clés, en fouillant dans les comptes e-mail et Facebook des ingénieurs et des employés.

GEMALTO continue de superviser ses réseaux et ne communiquera plus sur ce sujet à moins d’importants événements.

Sources de l’article :
Firstlook.org
iut-tice.ujf-grenoble.fr
Gemalto.com