Cartes SIM piratées: Gemalto reconnaît les faits mais les minimise

Gemalto se veut rassurant. Le fabricant français de cartes SIM reconnaît, ce mercredi 25 février, avoir subi plusieurs "attaques sophistiquées" en 2010 et 2011. Mais il y a un point sur lequel il n'est pas d'accord : ces attaques n'ont pas débouché sur "un vol massif", contrairement à ce qu'ont laissé penser des documents publiés la semaine dernière.

The Intercept, un site de journalisme d'investigation se basant sur des documents fournis par Edward Snowden, a affirmé le 20 février que le leader mondial du secteur avait subi un piratage massif des services de renseignement américain et britannique, dans le but d'espionner des conversations téléphoniques.

"La technique utilisée étant d'intercepter les clés lors de l'échange entre l'opérateur télécoms et ses fournisseurs, et Gemalto ayant avant 2010 déjà largement déployé un système d'échange sécurisé avec ses clients, seuls quelques cas exceptionnels ont pu aboutir à un vol", souligne Gemalto dans un communiqué.

Les réseaux 3G et 4G pas vulnérables

Les données éventuellement volées par cette méthode ne sont exploitables que dans les réseaux de deuxième génération (2G), dit le groupe, ajoutant que les réseaux 3G et 4G ne sont pas vulnérables à ce type d'attaque.

Gemalto indique aussi qu'il n'a jamais vendu de cartes SIM à quatre des 12 opérateurs cités dans les documents révélés par The Intercept, en particulier l'opérateur somalien auquel 300.000 clés d'authentification auraient été volées. Aucun autre produit de Gemalto n'est concerné par cette attaque, ajoute le groupe.