Mercredi 25 février, Gemalto a présenté les conclusions de ses investigations sur l'allégation de piratage de clés d'encryptage de cartes SIM par le NSA et son homologue britannique GCHQ.
Gemalto reconnait que cette opération est « probable », qu'elle ase serait déroulée en 2010, mais minimise ses effets : « Les attaques contre Gemalto n'ayant touché que des réseaux bureautiques, elles n'ont pas pu résulter en un vol massif de clés d'encryptage de cartes SIM, a déclaré la société. La technique utilisée étant d'intercepter les clés lors de l'échange entre l'opérateur telecom et ses fournisseurs, et Gemalto ayant avant 2010 déjà largement déployé un système d'échange sécurisé avec ses clients, seuls quelques cas exceptionnels ont pu aboutir à un vol. »
Pour parvenir à ces conclusions, Gémalto s’est appuyé sur des documents publiés « par un site web le 19 février 2015 » (NDLR : The Intercept) et ses outils de surveillance interne, avec leurs registres de tentatives d'intrusion. Il en a conclu que les données « éventuellement volées » par cette méthode ne sont exploitables que dans les réseaux de deuxième génération (2G), les réseaux 3G et 4G n’étant pas vulnérables à ce type d'attaque. Et précise bien qu’ « aucun autre produit de Gemalto n'est concerné par cette attaque. »
Gemalto s’est ensuite lancé dans des commentaires plus généralistes sur l’efficacité des solutions de sécurité indiquant que « La sécurité numérique n'est pas statique. Les technologies de pointe perdent de leur efficacité avec le temps, à mesure que des contre-attaques sont mises au point et que la recherche et la puissance de calcul évoluent. Ainsi, les fonctionnalités et les capacités de tous les produits de sécurité réputés sont régulièrement modifiées et mises à niveau. Les cartes SIM ne dérogent pas à la règle et ont constamment été mises à jour au fil du temps, en particulier avec des modifications majeures pour les réseaux 3G et 4G. »
Le groupe Gemalto s’inquiète ensuite de cet espionnage d’Etat et se dit « préoccupé par le fait que des autorités d'État aient pu lancer de telles opérations contre des sociétés privées non coupables d'agissements suspects. » Mais pas de plainte à l'horizon.
