Cyber-attaques sur GEMALTO ou comment viser des "cibles" qui manipulent des secrets

 

Cyber-attaque sur GEMALTO : déstabilisation ?

 

Entretien avec Eric Laubacher, Directeur Innovation Sécurité chez Ercom*

Rappel des faits: L'entreprise française Gemalto aurait subi une attaque de la part des agences de renseignement NSA (US) et GCHQ (GB) directement sur ses cartes SIM. De quoi relancer la suspicion sur le président non exécutif, Alex Mandl. Cet administrateur fut aussi aux origines du fonds d'investissement In-Q-Tel, bras armé technologique de la CIA et de la NSA. Pour Bruce Schneier, "guest star" du dernier FIC 2015, expert en cryptographie chez Resilient Systems: "Ce qui est le plus dangereux, c'est lorsque la NSA pirate tout le monde pour attraper quelques personnes", explique-t-il à l'AFP en précisant "Ils volent les clés de cryptage de tout le monde, y compris la vôtre et la mienne. C'est une politique de la terre brûlée et d'autres fabricants de cartes SIM ont dû être visés." L'attaque sur GEMALTO - 450 opérateurs comme client - n'est pas nouvelle (lire l'histoire de Gemplus en BONUS) et la technique d'ingénierie sociale non plus (lire la note de Intel Security en fin d'article). La gestion des clés a toujours été problématique. Dans certains cas il ne s'agit même pas de malveillance mais de négligence: le créateur du moteur de "tracabilité" SHODAN vient d'annoncer que Téléfonica en Espagne avait la même clé SSH pour gérer... 250 000 routeurs ! (Lire notre article sur ce sujet pour les abonnés à Cyberisques NEWS).

 

 "Les faits sont difficiles à prouver au sens juridique et attaquer un Etat est coûteux, long et assez aléatoire", a expliqué le directeur général de Gemalto, Olivier Piou lors d la conférence de presse du 25 février. Employeur de 12 000 personnes, la société de droBon nombre d'opérateurs ont montré leurs inquiétéudes et fait connaitre leurs demendes d'explication. Bref, en ce début d'année 2015, Gemalto (après Gemplus voir BONUS en fin d'article) est déstabilisé. 

dapino-gamma-gemalto-yuaawaa-wiki-p1-normal

 

Entretien avec Eric Laubacher, Directeur Innovation Sécurité chez Ercom et expert de la sécurité des trafics voix et données sur divers équipements téléphoniques.

  

Social-Engineering-Cyberisques-NEWS-2015-1


L'article publié le 19 février 2015 par « the Intercept » révèle une autre technique utilisée par les agences de renseignement pour « écouter » les trafic voix et données des portables. A l'origine de cette attaque on voit clairement se mettre en place une technique de social engineering. Pourquoi ?

C'est vrai, à l'origine de l'attaque des clés qui normalement n'étaient pas censées êtres récupérables l'ont été. Comment ? Par qui ? Sans doute par la technique d'ingénierie sociale.

 

Pourquoi ont ils employé cette technique vieille de plus de 30 ans mais visiblement toujours utile aux cyber-attaquants ?

Ils ont visé via chaîne logistique de production et les personnes susceptibles de manipuler ces données. Visiblement certaines personnes échangeaient en clair des données confidentielles. On peut se demander si de la part de Gemalto dans les échanges avec d'autres opérateurs, il n' y a pas eu de négligences.

 

Sur des process ultra sensibles une telle négligence est étonnante…

Oui, le souci de la transmission des clés devient de surcroît très important voir stratégique car c'est une nouvelle approche pour contourner les algorithmes de chiffrement devenus trop résistants. Autrefois, on cherchait a « casser » les clés, aujourd'hui on les contourne.

 

La clé de chiffrement est « gravée » dans la carte SIM. D'après « The Intercept » et E. Snowden, la technique est passive, donc difficile à détecter ?

A la différence des attaques actives - attaques qu'il faut émettre donc moins discrètes – les attaques passives savent capturer les données sans interférer dans les protocoles. Dans un environnement GSM par exemple, les attaques passives peuvent rendre vulnérables les réseaux GSM. Mais les dernières générations de logiciels renforcent la sécurité contre une éventuelle falsification de clés. Reste que tous les opérateurs n'implémentent pas tous le même niveau de sécurité. Une fois encore, les attaques devenant difficiles en cassant les algo. de chiffrement, les agences préfèrent voler les secrets dans les cartes. Ce que disent Snowden et d'autres lanceurs d'alertes c'est que les algos sont très solides ; Les attaquants ne peuvent que les contourner.

 

Vol-de-clés-Fev-2015-Cyberisques

 

Quels impacts distinguez-vous pour ce type d'attaque qui vise a écouter et lire les trafics liés à l'usage de ces cartes ?

Oui, l'impact est très clair les services britanniques et américains cherchaient a écouter les informations 3G / 4G. On nous dira toujours la même chose : au nom de l'antiterrorisme, c'est nécessaire mais il y a aussi les libertés individuelles. A en croire certains documents rendus publics par « The Intercept » l’opération contre Gemalto selon les agences US et GB serait un succès. La NSA déclare avoir atteint les serveurs de facturation, clés de chiffrement, informations sur la clientèle, plan du réseau… Pour sa part, les Britanniques se seraient infiltrés au coeur des serveurs d’authentification.

 

Sur son blog sécurité, Gemalto le 20 février faisiat toujours le « mort ». La firme estime toujours le 20 février qu'elle a déjà été victime de nombreuses attaques mais que les liens avec celles évoquées par E. Snowden ne sont pas évidents à réaliser. Selon Vous, peut on résister à ce type de cyber-attaque directement portées sur les données destinées aux opérateurs ? (Gemalto a publié le 20 février un Communiqué de presse reproduit en fin d'article section BONUS)

Oui par le chiffrement. Notre solution cryptosmart pour Android entre autres offre une réelle sécurité. Des opérateur en sécurité proposent l'exploitation de services sécurisés  basés sur nos solutions. Ercom s'est orienté comme éditeur mais nos partenaires le font OBS, HTCS, 3SI… Avec 10 000 licences vendues en novembre 2014, notre approche rencontre le succès. Nos produits de sécurité, connus sous la gamme Cryptosmart, ont fait l’objet de plusieurs certifications et qualifications par l’Etat. Ils sont d’ores et déjà utilisés par de nombreuses administrations.

Propos recueillis par Jean Philippe Bichard    

 

  

  infographie-2

1 milliard de données auraient été volées en 2014 à cause de 1 500 violations, selon une étude Breach Level Index de SafeNet, racheté par Gemalto, un acteur français spécialisé dans la sécurité numérique. Cela représenterait une hausse de 78% sur un an en nombre de données, et de 49% en termes de violation.

 

 

 

ERCOM-CYBERISQUES-2015

 

 

Le rapport « Piratage de l’OS humain » d’Intel Security publié le 19 février 2015 révèle les techniques de persuasion proches du Social Engineering utilisées par les cybercriminels

 Extraits Communication Corporate :

Intel Security alerte sur le fait que les méthodes de substitution des données sensibles utilisées par les cybercriminels sont de plus en plus proches de celles utilisées dans le monde réel et notamment des techniques de vente et d’escroquerie. Prenez garde à votre sécurité en ligne !

  • Deux tiers des emails dans le monde sont des spams qui visent à extorquer des informations personnelles et confidentielles ainsi que de l'argent.

  • En 2014, McAfee Labs a enregistré plus de 30 millions de liens suspects, liés à une forte augmentation des mails de phishing (hameçonnage).

  • 92 % des employés français, 80 % à travers le monde, se sont déjà fait piéger par des menaces informatiques et notamment par des tentatives d’hameçonnage.

  • Avec un coût global de la cybercriminalité estimé à 392 milliards d’euros par an, Intel Security encourage les entreprises à éduquer leurs collaborateurs face aux six leviers d’influence utilisés par les hackers.

 

 

Pour en savoir plus sur cet article et accéder à votre contenu personnalisé profiter de notre offre

 

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

 

Abonnement individuel par eMail personnalisé 40 envois / an

 

offre spéciale anniversaire 887 Euros* au lieu de 1199,00 Euros

 

offre spéciale anniversaire : http://www.cyberisques.com/fr/subscribe

 

Chaque semaine l'équipe de CYBERISQUES.COM sélectionne l'essentiel de la veille "Business & Cyber Risks" stratégique pour les dirigeants et membres des COMEX: synthèse rapide de l'essentiel de l'actualité de l'économie numérique mondiale, sélection des chiffres indispensables, financement des cyber-risques, cyber-assurance, protection juridique des dirigeant,protection des actifs immatériels, solutions et investissements Secure IT stratégiques et cyber taskforce, protection et maitrise de données critiques des users VIP, veille cyber risks juridique et réglementaire, interviews stratégiques exclusives, jurisprudences, cyber-agenda... dans la boite mail de votre choix.

 


Pour suivre la première VEILLE "BUSINESS & CYBER RISKS"

 

http://www.cyberisques.com/fr/subscribe

 

Pour retenir les informations stratégiques, prévenir et couvrir financièrement vos actifs immatériels critiques, le service VEILLE "Business & Cyber Risks" de Cyberisques.com vous informe personnellement par une sélection rigoureuse et des analyses rapides et sans concession des meilleurs experts. 

 

Viuolation-didentités-Couts-Cyberisques-NEWS-Frev-2015

 Source Symantec 2014

 

 

Paris, le 20 février 2015 – « Piratage de l’OS humain », le nouveau rapport d’Intel Security, élaboré avec le soutien du Centre Européen de lutte contre la cybercriminalité d'Europol, présente les techniques utilisées dans les récentes cyberattaques, ainsi que les méthodes de manipulations des hackers pour rendre les collaborateurs d’entreprises complices/acteurs d’actes de cybercriminalité.

Publié quelques jours après la révélation d’une cyberattaque qui a touché plus de 100 banques à travers le monde et causé aux alentours de 900 millions d’euros de dégâts, ce rapport démontre toute l’importance d’une prise de conscience collective et souligne la nécessité d’éduquer les collaborateurs aux méthodes de persuasion appliqués par les hackers dans le monde numérique. Dans l’exemple cité, les attaques de phishing ciblées ont permis l’ouverture de brèches au sein de ces réseaux bancaires, démontrant ainsi la faiblesse intrinsèque du « pare-feu humain ». A titre de comparaison, l’étude Threat Report d’Intel Security a permis, en septembre dernier, de révéler que 92 % des employés français n’étaient pas en mesure d’identifier un courriel de phishing sur sept

« L’analyse de nombreux cas d’usurpation de données nous montre qu’aujourd’hui, le facteur humain est le plus souvent la clé qui permet aux hackers d’agir. En les manipulant, ils les incitent à prendre des mesures qui facilitent l’infection des systèmes par des logiciels malveillants », commenteRaj Samani, Directeur Technique EMEA d’Intel Security et conseiller auprès du Centre européen de lutte contre la cybercriminalité d'Europol.

« Aujourd’hui, les cybercriminels n’ont pas nécessairement besoin de savoir-faire technique pour atteindre leurs objectifs. Certains logiciels malveillants peuvent infecter les ordinateurs en y accédant directement par emails. Ces attaques ciblées manipulent les victimes et les incitent à ouvrir des pièces jointes, prétendument légitimes, ou à cliquer sur un lien qui semble provenir d’une source sûre », indique Paul Gillen, directeur des opérations du Centre Européen de lutte contre la cybercriminalité.

Sur l’année 2014, McAfee Labs a répertorié une augmentation spectaculaire du nombre d’URL malveillantes soit plus de 30 millions de liens suspects. Cette augmentation peut être attribuée à la fois à une forte hausse du nombre de liens de phishing ainsi qu’à une utilisation plus commune des URL courts qui cachent, souvent, des sites Web malveillants. Cette tendance est d’autant plus inquiétante que18 % des utilisateurs visés par un email de phishing cliquent sur ce lien malveillant et deviennent ainsi victimes de la cybercriminalité.

Le rapport des 500 chercheurs du McAfee Labs pointe du doigt le fait que deux tiers des emails mondiaux sont des spams qui visent à soutirer des informations et de l'argent à leurs destinataires. Face à ce constat, il est d’autant plus important que les consommateurs et les collaborateurs d’entreprises soient informés des techniques de phishing et d’escroquerie couramment utilisées dans le monde numérique.

« Aujourd'hui, les cybercriminels sont devenus de très bons psychologues, capables de jouer sur le subconscient des employés en s’appuyant notamment sur un grand nombre de tactiques de « vente » souvent utilisées dans la vie quotidienne. Pour garder une longueur d’avance sur les cybercriminels et réduire le risque d’être l’une des victimes de la cybercriminalité, les entreprises doivent non seulement optimiser leurs processus et compter sur la technologie mais aussi former leurs personnels pour pallier à la brèche dans ce qu’on nomme ‘l’OS humain’ », conclut Raj Samani.

Il n’a jamais été plus important de former les individus à la sécurité et à la politique de leur entreprise en matière de protection des données. Paradoxalement, une étude récente publiée par Enterprise Management Associates1 a révélé que seulement 56 % des employés avaient suivi une formation à la politique de sécurité de l’entreprise. Pour mieux protéger les informations sensibles des consommateurs et des entreprises, le rapport « Piratage de l'OS humain » d’Intel Security détaille les techniques de persuasion le plus souvent utilisées par les cybercriminels :

Restez vigilent aux six leviers d'influence des cybercriminels dans le monde numérique :

1. Réciprocité des échanges : Les gens ont tendance à se sentir obligés de répondre une fois qu’ils reçoivent quelque chose.

2. Rareté de l’offre : Les individus sont motivés par l’obtention de ce qu’ils croient être une ressource rare ou une offre limitée dans le temps et peuvent ainsi s’exposer plus facilement au cybercrime. Par exemple, un faux courriel envoyé par une banque demandant à l'utilisateur d’accepter une demande suspecte afin d’éviter la désactivation de son compte dans les 24 heures peut avoir tendance à inciter au clic.

3. Cohérence des engagements : Une fois engagée dans une démarche, la victime choisit très souvent de tenir ses promesses pour rester cohérente et éviter de paraître peu voire non fiable. Par exemple, un pirate peut se présenter en tant qu’un membre de l’équipe SI de l’entreprise et, après avoir fait en sorte qu’un employé s’engager à respecter tous les processus de sécurité, lui demander d’effectuer une tâche suspecte sur son poste, qui semblerait être conforme aux exigences de sécurité.

4. Appréciation et amitié : Les tentatives d’hameçonnage sont plus productives lorsque le cybercriminel réussit à gagner la confiance de la victime. Pour endormir la méfiance, un pirate pourrait notamment essayer d’entrer en contact, soit par téléphone soit en ligne, et « charmer » au préalable sa victime potentielle.

5. Respect de l’autorité : Les gens ont tendance à se conformer à une figure d'autorité. Les directives dans un email prétendument envoyé de la part d’un PDG de l’entreprise sont plus susceptibles d’être suivies par un employé.

6. L’effet de masse : Les gens ont tendance à se conformer à la majorité. Par exemple, si un courriel de phishing est prétendument envoyé à un groupe de collègues, plutôt qu’à un seul destinataire, la victime potentielle de l’attaque se sent davantage rassurée et est plus susceptible de croire que l’email provient d’une source sûre.

 

BONUS : 

http://cyberihttp://www.cyberisques.com/fr/component/content/article/139-mots-cles-32-externalisation/369-gemalto-autorite-de-confiance-avec-safenet

https://firstlook.org/theintercept/2015/02/19/great-sim-heist/

http://gsmmap.org/

*http://www.ercom.fr/nos_valeurs/2-10

L'affaire GEMPLUS : http://www.r-lecole.fr/Lois/caraIE.html#L%E2%80%99affaire%20Gemplus

 

 

Le CP de Gemalto : Amsterdam, le 20 février 2015

 – Un article a révélé hier, qu'en 2010 et 2011, une unité spéciale formée d'opérateurs du GCHQ (Government Communications Headquarters) anglais et de la NSA (National Security Agency) américaine aurait piraté des clés d'encryptage inscrites dans des cartes SIM par Gemalto (Euronext NL0000400653 - GTO) et possiblement d'autres fabricants. L'article indique que la cible n'était pas Gemalto en tant que telle – il s'agirait d'une tentative pour atteindre le plus grand nombre de téléphones portables possible dans le but de surveiller les communications mobiles sans l'accord des opérateurs et des usagers.

Nous ne pouvons à ce stade de l'enquête confirmer les informations de cet article, et n'avions aucune connaissance préalable que ces agences gouvernementales  conduisaient cette opération.

Gemalto, leader mondial de la sécurité numérique, est particulièrement vigilant en ce qui concerne les hackers malveillants, et a détecté et géré toutes sortes d'attaques au cours de ces dernières années. A ce stade le lien entre ces attaques passées et celle révélée hier ne peut pas être prouvé.

Gemalto prend cet article très au sérieux et met en œuvre tous les moyens nécessaires pour investiguer et comprendre l'étendue de ces techniques sophistiquées.

​​​Il y a eu beaucoup d'attaques informatiques menées par des Etats ces derniers temps, attaques qui ont retenu l'attention des médias et du monde des entreprises. Elles montrent toutes à quel point la question de la cyber sécurité est, aujourd'hui plus que jamais, à prendre au sérieux.

 

Second CP du 25 février:

Amsterdam, February 25, 2015 - Following the release of a report by a news website on February 19, 2015, Gemalto (Euronext NL0000400653 GTO), has conducted a thorough investigation, based in particular on two elements: the purported NSA and GCHQ documents which were made public by this website, and our internal monitoring tools and their past records of attempts of attacks.

 

All comments in this publication assume that the published documents are real and refer accurately to events that occurred during 2010 and 2011. Our publication here below does not aim at confirming partially or entirely nor at providing elements to refute partially or entirely the contents of those website published documents.

 

As a digital security company, people try to hack Gemalto on a regular basis. These intrusion attempts are more or less sophisticated and we are used to dealing with them. Most are not successful while only a few penetrate the outer level of our highly secure network architecture.

 

If we look back at the period covered by the documents from the NSA and GCHQ, we can confirm that we experienced many attacks. In particular, in 2010 and 2011, we detected two particularly sophisticated intrusions which could be related to the operation.

 

In June 2010, we noticed suspicious activity in one of our French sites where a third party was trying to spy on the office network. By office network we mean the one used by employees to communicate with each other and the outside world. Action was immediately taken to counter the threat.

 

In July 2010, a second incident was identified by our Security Team. This involved fake emails sent to one of our mobile operator customers spoofing legitimate Gemalto email addresses. The fake emails contained an attachment that could download malicious code. We immediately informed the customer and also notified the relevant authorities both of the incident itself and the type of malware used.

 

During the same period, we also detected several attempts to access the PCs of Gemalto employees who had regular contact with customers.

 

At the time we were unable to identify the perpetrators but we now think that they could be related to the NSA and GCHQ operation. These intrusions only affected the outer parts of our networks – our office networks - which are in contact with the outside world. The SIM encryption keys and other customer data in general, are not stored on these networks. It is important to understand that our network architecture is designed like a cross between an onion and an orange; it has multiple layers and segments which help to cluster and isolate data.

 

While the intrusions described above were serious, sophisticated attacks, nothing was detected in other parts of our network. No breaches were found in the infrastructure running our SIM activity or in other parts of the secure network which manage our other products such as banking cards, ID cards or electronic passports. Each of these networks is isolated from one another and they are not connected to external networks.

 

It is extremely difficult to remotely attack a large number of SIM cards on an individual basis. This fact, combined with the complex architecture of our networks explains why the intelligence services instead, chose to target the data as it was transmitted between suppliers and mobile operators as explained in the documents.

 

The risk of the data being intercepted as it was shared with our customers was greatly reduced with the generalization of highly secure exchange processes that we had put in place well before 2010. The report indicates that attacks were targeted at mobile operators in Afghanistan, Yemen, India, Serbia, Iran, Iceland, Somalia, Pakistan and Tajikistan. It also states that when operators used secure data exchange methods the interception technique did not work. In particular it "…failed to produce results against Pakistani networks". We can confirm that the transmission of data between Pakistani operators and Gemalto used the highly secure exchange process at that time. In 2010 though, these data transmission methods were not universally used and certain operators and suppliers had opted not to use them. In Gemalto's case, the secure transfer system was standard practice and its non-use would only occur in exceptional circumstances.

 

The analysis of the documents shows that the NSA and GCHQ targeted numerous parties beyond Gemalto. As the leader in the market, Gemalto may have been the target of choice for the intelligence services in order to reach the highest number of mobile phones. However, we can see in the document that many aspects do not relate to Gemalto, for example:

 

  • Gemalto has never sold SIM cards to four of the twelve operators listed in the documents, in particular to the Somali carrier where a reported 300,000 keys were stolen.

  • A list claiming to represent the locations of our personalization centers shows SIM card personalization centers in Japan, Colombia and Italy. However, we did not operate personalization centers in these countries at the time.

  • Table 2 indicates that only 2% of the exchanges of encryption keys (38/1719) came from SIM suppliers and states that the use of strong encryption methods by SIM suppliers means that the other groups (98%) are much more vulnerable to these types of attacks.  

 

In 2010-2011 most operators in the targeted countries were still using 2G networks. The security level of this second generation technology was initially developed in the 1980s and was already considered weak and outdated by 2010. If the 2G SIM card encryption keys were to be intercepted by the intelligence services, it would be technically possible for them to spy on communications when the SIM card was in use in a mobile phone. This is a known weakness of the old 2G technology and for many years we have recommended that operators deploy extra security mechanisms. However, even if the encryption keys were intercepted by the Intelligence services they would have been of limited use. This is because most 2G SIMs in service at that time in these countries were prepaid cards which have a very short life cycle, typically between 3 and 6 months.

 

This known weakness in the original 2G standards was removed with the introduction of proprietary algorithms, which are still used as an extra level of security by major network operators. The security level was further increased with the arrival of 3G and 4G technologies which have additional encryption. If someone intercepted the encryption keys used in 3G or 4G SIMs they would not be able to connect to the networks and consequently would be unable to spy on communications. Therefore, 3G and 4G cards could not be affected by the described attack. However, though backward compatible with 2G, these newer products are not used everywhere around the world as they are a bit more expensive and sometimes operators base their purchasing decision on price alone.

 

Digital security is not static. Today's state of the art technologies lose their effectiveness over time as new research and increasing processing power make innovative attacks possible. All reputable security products must be re-designed and upgraded on a regular basis. SIM cards are no different and they have evolved over time. In particular, the technology was massively re-developed for 3G and 4G networks.

 

Security is even higher for mobile operators who work with Gemalto to embed custom algorithms in their SIM cards. The variety and fragmentation of algorithmic technologies used by our customers increases the complexity and cost to deploy massive global surveillance systems. This is one of the reasons why we are opposed to alternative technologies which would limit operators' ability to customize their security mechanisms. Such technology would make it much simpler to organize mass surveillance should the technology unfortunately be compromised or fail.

 

Gemalto would like to reiterate its commitment to providing the best security levels for civilian applications. Our security products, infrastructure and processes are designed to ensure the highest degree of security in a global, open, and commercial environment. These are regularly audited and certified by third-party private and public organizations.

 

Nevertheless, we are conscious that the most eminent state agencies, especially when they work together, have resources and legal support that go far beyond that of typical hackers and criminal organizations. And, we are concerned that they could be involved in such indiscriminate operations against private companies with no grounds for suspicion.

 

In light of the recent events our main focus is our customers. Our teams have particularly appreciated the support that they have shown us in the past few days. These events inspire our people to work even closer with our customers and the industry to build even more sophisticated solutions to serve the needs of end users.

 

In today's world, any organization could be subject to a cyber-attack. Therefore, it has never been more important to follow security best practices and adopt the most recent technologies. These include advanced data encryption, so that even if networks are breached, third parties cannot access any of the stolen information.

 

Gemalto will continue to monitor its networks and improve its processes. We do not plan to communicate further on this matter unless a significant development occurs.​

 

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires