©Reuters
Rien ne leur échappe
NSA, et maintenant le piratage des cartes SIM : de révélations en révélations, que risquons-nous de finir par apprendre sur l’ampleur de l’espionnage d’Etat dont nous sommes tous l’objet ?
Il n'y a pas que les échanges sur le web qui tombent dans les mains du service de renseignement américain. Les données de nos mobiles seraient également la cible d'un espionnage poussé, à notre insu évidemment, et sans réelle protection des prestataires de téléphonie. Et pour développer son potentiel, la NSA n'hésite plus à collaborer avec d'autres services internationaux.
Atlantico : Concernant l'espionnage des données de nos téléphones, ce serait non seulement la NSA mais aussi le service d'espionnage britannique qui serait à l'origine de cette surveillance. Comment peut-on pirater des cartes SIM?
Quentin Michaud : Il ne faut pas s'étonner que la NSA et le GCHQ (le service de renseignement numérique britannique) interviennent en total symbiose dans des cyberopérations de ce type. Depuis le début de l'affaire Edward Snowden, les documents fournis par l'ancien sous-traitant de l'Agence américaine de renseignement ont mis au jour plusieurs programmes de coopération entre les deux agences américaine et britannique s'échangeant des métadonnées, offrant des accès à des serveurs de stockage de chacune des deux entités. La NSA a même financé des programmes d'interception mis en oeuvre par le GCHQ. C'est dire le niveau d'interopérabilité très élevé entre ces deux agences.
Pirater une carte SIM n'est pas compliqué en soi, les systèmes de sécurité de ces puces électronique sont connus depuis de nombreuses années. C'est davantage les clefs de chiffrement qui offre un niveau de sécurité plus élevé de ces puces qui peut poser problème à toute personnes ou entité qui souhaiterait accéder aux communications mobiles d'un individu. Si la NSA et le GCHQ parviennent à disposer de ces clefs, cela leur évite un travail monumental visant à casser ces systèmes de sécurité pour accéder aux données des personnes surveillées par les deux agences. Celles-ci ont visiblement pu accéder à ces clefs de chiffrement en s'introduisant sur les serveurs de Gemalto via les comptes Facebook ou emails de ses employés. C'est donc principalement à mon sens un gain de temps pour la NSA et le GCHQ.
Combien de personnes sont touchées, et dans quelle région du monde?
Au cours de ce type de cyberopération visant à collecter des informations sur des systèmes de sécurité ou des données des internautes, la NSA et le GCHQ ne quantifient pas vraiment au préalable leurs objectifs. Qu'il s'agisse de millions ou de milliards de données, peu importe au fond. Ce qui compte du point de vue de la NSA est surtout de disposer de ces données pour ensuite s'en servir pour casser des clefs de chiffrement, accéder à des comptes personnel, intercepter de nouvelles données sur des câbles sous-marins ou des satellites, pirater à distance des ordinateurs. Le moyen d'interception compte davantage que la quantité en elle-même des données recueillies, alors que la NSA dispose de moyens gigantesques pour collecter dix, vingt, trente millions de métadonnées.
En début de semaine, un scandale révélait que la NSA était sans doute à l'origine d'espionnage de disques durs. Aujourd'hui ce sont les téléphones portables de millions d'utilisateurs qui auraient fait l'objet d'espionnage: est-ce que la NSA peut tout surveiller?
C'est un des objectifs que la NSA s'est fixé il y a maintenant quelques années : la collecte totale. Cela signifie que les super-calculateurs de l'agence de renseignement américaine doivent être en mesure à terme de scanner, à défaut de collecter, l'ensemble des données concernant des emails, des communications téléphoniques ou encore des clefs de chiffrement. Depuis le début du scandale provoqué par Edward Snowden au mois de juin 2013, ce n'est pas tant l'existence de la NSA mais sa capacité à pouvoir aspirer et stocker ces milliards de données qui choque les opinions. Le stockage est quant à lui limité car les données ne peuvent pas être conservées pour des raisons techniques de façon indéfinie. Mais, pour ce qui est de savoir si la NSA peut scanner ou du moins accéder à l'ensemble des données quasiment en temps réel, je pense que ce n'est pas illusoire à terme au vu de ses capacités techniques actuelles qui connaissent chaque jour un développement technologique croissant.
Les données récoltées sont elles des conversations téléphoniques, des échanges de messages? Et sont elles conservées, stockées ou détruites si elles ne sont pas utilisables immédiatement?
Ce n'est pas tant le contenu que le contenant qui intéresse la NSA, c'est-à-dire que les métadonnées liées à une communication téléphonique ou un échange de courrier électronique peuvent fournir davantage de renseignement que le contenu exact de cet échange téléphonique ou électronique. Il faut bien comprendre que tout le monde n'est pas mis sur écoute à longueur de journée ! Néanmoins, les données de chacun (heure d'appel, durée de conversation, répertoire, etc) sont des informations particulièrement intéressante pour une agence de renseignement qui souhaite dresser, par exemple, un profil et un réseau autour d'une personne. Plus globalement, la NSA collecte et stocke ce genre de données parce qu'elles peuvent également servir aux multinationales américaines engagées dans une guerre économique de plus en plus prégnante contre ses concurrents européens ou asiatiques que ce soit dans les secteurs du cloud ou de la sécurité informatique. Les révélations d'Edward Snowden ont abondé en ce sens au vu des documents de la NSA publiés dans la presse en 2013 et en 2014.
Edward Snowden expliquait à travers les documents de la NSA qu'il avait porté aux yeux des journalistes avec lesquels il a travaillé que ces données ne peuvent évidemment pas être stockées indéfiniment. Il semblerait que la NSA stocke certaines métadonnées durant quelques jours, les ordinateurs scannent des mots-clefs sur ces métadonnées, avant qu'elles soient supprimées. Encore une fois, c'est un exemple certainement épisodique au travers des nombreux serveurs de stockage dont dispose la NSA permettant de conserver des données jugés stratégiques pour les Etats-Unis.
Une fois de plus, est-ce qu'on peut s'assurer que nous ne sommes pas traqués lorsque l'on se sert d'un téléphone, d'autant plus qu'aujourd'hui, les smartphones sont utilisés en permanence pour toute sorte d'échanges, et notamment pour des paiements en ligne ?
Nos smartphones constituent un atout de mobilité dans notre vie moderne mais aussi et surtout un outil de vulnérabilité pour les pays ou les organisations qui souhaitent accéder à nos données. Nos informations sur nos applications, nos appels ou nos paiements sont autant de moyens pour des pays de défendre leurs intérêts économiques en fournissant de telles informations auprès de leurs entreprises nationales. Mais n'imaginons pas un seul instant que les Etats-Unis soient le seul Etat de la planète à perpétrer de telles pratiques. Ils sont simplement ceux qui disposent de l'outil de renseignement technique, à travers la NSA, le plus puissant.
Quel est le recours des personnes victimes de ce piratage ? Peuvent-elles demander réparation auprès de leur compagnie téléphonique ? Et peuvent-elles s'assurer que les données récoltées seront détruites ?
Je ne suis pas sûr qu'il existe quelconque recours possible face à ce piratage intervenu sur les cartes SIM en France impliquant possiblement des citoyens français. On parle là d'un piratage totalement illégal conduit par une agence de renseignement étrangère. Ce n'est pas le premier et ce n'est pas le dernier. Faut-il pour autant que cela reste lettre morte ? Je ne pense pas, puisqu'il faut nécessairement contrôler davantage les activités des agences de renseignement. Dans ce cadre, une loi visant à réformer la NSA s'est retrouvée être classée sans suite au mois de janvier par l'administration Obama. C'est là à mon sens l'enjeu stratégique majeur face à ce scandale.
En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.
Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !