Gemalto avoue avoir été espionné, mais dément tout piratage de ses cartes SIM

• Imprimer

Créée en France, à Gemenos près de Marseille, sous le nom de Gemplus, le spécialiste mondial de la carte à puce, Gemalto, a son siège à Amsterdam. Son président non-exécutif Alex Mandl est mis en cause pour être un ancien administrateur du fonds d'investissement In-Q-Tel, créé par les agences de renseignement américaines, CIA et NSA.

Gemalto est, malgré elle, à nouveau sous le feu des projecteurs. Cette fois, il ne s'agit pas des investissements des fonds créés par les services secrets américains, mais d'une tentative d'espionnage menée par la NSA en 2010. L'affaire a été révélée par le site américain The Intercept, jeudi dernier. Ce matin, les dirigeants de Gemalto ont confirmé cet espionnage, mais sans préciser le nom des instigateurs.

Une réaction obligée, l'affaire a beau remonter à 2010, elle provoque des tempêtes. Médiatique d'abord, le sujet est abordé dans le monde entier, par tous les médias. Boursier, l'action Gemalto chutait de 8% au lendemain des révélations. Commercialement, Olivier Piou le directeur général (*) a tenté de rassurer à plusieurs reprises, invoquant la fidélité de ses clients et leurs nombreux messages d'encouragements. Il a aussi avoué, benoîtement, que plusieurs dirigeants du groupe sont rentrés de leurs vacances au ski pour écoper le sinistre.

Un espionnage ancien et limité

L'argumentaire du « dg » de Gemalto tient en plusieurs points. D'abord, l'espionnage est « probable » un mot diplomatique qui vaut affirmation. Mais, corrige aussitôt Olivier Piou, cet espionnage est limité. Gemalto compte plusieurs réseaux internes dont l'un nommé « office » gère les communications internes au personnel et celles entre ce personnel et les clients opérateurs. Selon le dg de Gemalto, l'affaire d'espionnage visait à intercepter et pirater ces messageries pour s'emparer des clés de chiffrement des cartes SIM commercialisés par Gemalto auprès des opérateurs. La tentative aurait échoué, elle ne concernait, autre argument, que les cartes SIM 2G des anciens réseaux, effectivement plus perméables, que les nouveaux réseaux 3 et 4G et que leurs cartes SIM. Et les systèmes de défense de la société ont fonctionné, ne serait-ce que par la prudence du personnel qui n'échange pas sans précautions sur  des informations sensibles.

Enfin, Gemalto n'a vu aucun de ses produits piratés. La société est comme toute entreprise de cette taille, et surtout dans les technologies, l'objet de tentatives d'attaques régulières. Elle sait évidemment se défendre. Voilà pour les explications officielles. Au passage, Gemalto relève quelques erreurs dans l'enquête de The Intercept, comme l'implantation  de  centres  de Gemalto dans des villes où elle en est dépourvus  (Tokyo par exemple) où le nom de clients qui ne le sont pas. Un opérateur saoudien n'est pas client de Gemalto, alors que le site américain affirme que 300 0000 cartes SIM piratés lui ont été livrées par la société française.

Le mal est fait

L'essentiel est ailleurs. Gemalto  a beau jeu de souligner l'antériorité des attaques qui remontent à 2010 et 2011. Une première attaque sur le réseau « office » une deuxième avec de faux e-mails tentait d'implanter un code malveillant. D'autres attaques, plus ou moins graves, ont-elles eu lieu depuis ? Quelles sont les conséquences si une attaque réussit ? Gemalto est évidemment contraint au silence et à seulement expliquer aujourd'hui des attaques qui remontent à cinq années en arrière et sous la pression des révélations d'un site web. Le mal est fait. En termes d'image, Gemalto est sur la défensive alors que l'entreprise fournit des puces pour les cartes bancaires, les téléphones et différents systèmes d'authentification.

Surtout, elle est en lice pour équiper les grands constructeurs de smartphones de puces pour effectuer des paiements par le terminal mobile. L'affaire tombe au plus mauvais moment surtout aux Etats-Unis où Apple est en passe de choisir ses fournisseurs. Gemalto a donc intérêt à démontrer que le piratage a échoué et que ce type d'effraction est ancien. En cas de succès, ce serait évidemment un dommage irréparable, les pirates pouvant accéder aux communications des abonnés mais également aux systèmes d'information des opérateurs, la facturation en particulier. Derrière l'affaire Gemalto, c'est tous les opérateurs de téléphone mobiles qui tremblent.

Dans ce contexte, on ne peut que s'étonner du silence assourdissant des dirigeants français. Née en France sur une technologie inventée en France, Gemalto est détenue par des capitaux internationaux, en particulier le fonds Capital Group et une de ses filiales, pour presque 30%, La BPI a un peu plus de 8% depuis 2010, après une tentative désespérée de garder un oeil sur l'évolution de cette entreprise, dirigée par des capitaux américains, présidée par un américain et espionné par la NSA et GCHQ, son équivalent anglais.

(*) Olivier Piou est directeur général (CEO) exécutif, Alex Mandl est président (chairman) non exécutif.