vendredi 20 février 2015

La Théorie du Bordel Ambiant appliquée aux cartes à puces, selon la NSA

C'est le bordel dans le monde de la carte à puce, depuis les révélations (issues de Snowden) sur le piratage des cartes SIM par la NSA et les anglais.

Roland Moreno, inventeur de la carte à puce est mort en 2012. Il était un inventeur génial et bordélique mais pas un industriel et les sociétés qui ont proliféré pour commercialiser des cartes à puce ses sont développées sur les ruines de sa propre société - Innovatron à l'histoire tumultueuse - et sur la tombée de ses brevets dans le domaine public. Gemalto est le leader mondial maintenant et cette société franco-hollandaise est détenue par des fonds de pension américains, dirigée par un français et fortement implantée en France pour ses activités internationales et de recherche. Gemalto se vend comme le leader de la sécurité ultime grâce à ses technologies. Le président américain de la société, non exécutif a un passé sulfureux avec la NSA.

C'est Gemalto qui a été piraté par la NSA et les services secrets britanniques : on lui a volé les clés qui permettent de décoder tout ce qui passe par les cartes SIM. Pour mémoire Gemalto a vendu ses produits à des centaines d'opérateurs et de banques dans le monde, dont quasiment tous les opérateurs téléphoniques français évidemment. Gemalto jure qu'elle n'était au courant de rien et juge ces révélations «inquiétantes et perturbantes». Pour elle certainement, pour nous c'est bien au-delà. Son action en bourse baisse. Pourtant, tous considéraient juusqu'à Snowden cette entreprise comme une perle (sauf Attac à lire ici). Lisez par exemple cette page du Monde d'il y a quelques mois où l'on dit "Ce tropisme américain [de Gemalto] pourrait bien se révéler un atout dans la conjoncture actuelle". Rigolo, non ?

Moreno avait écrit un livre bizarre (La Théorie du Bordel ambiant), un livre où les notes de bas de page prenaient souvent beaucoup plus de place que le texte ;) Toujours intéressant à lire...

Depuis le début la carte à puce a été imaginée puis vendue comme LA solution pour sécuriser les données qui transitaient par elle. On la trouve partout mais deux secteurs nous intéressent particulièrement : la banque et les cartes de paiement d'une part, et les téléphones et leurs cartes SIM. En fait quand on parle de carte à puce, on parle de plusieurs systèmes différents, dont certains sont plus sécuritaires que d'autres et dont certains demandent un contact (comme un téléphone ou un distributeur de billets) et d'autres pas (comme les puces des cartes de transport type RATP). Les industriels de ces secteurs ont choisi des technologies qui sont comme toujours un compromis entre sécurité et coût : pourquoi dépenser 0,001 centime de plus par carte pour avoir un système plus sûr, si cela ne se vend pas plus, ou pas plus cher. Il y a donc des failles dans certaines implémentations.

Donc nos téléphones sont susceptibles d'être écoutés et décryptés à grande échelle, sans même avoir besoin d'écouter les opérateurs ou les câbles sous-marins. Pour les cartes bancaires, c'est certainement pareil. Vive donc la sécurité généralisée et la fin de nos vies privées.

Simple non, ce qui passe entre un téléphone et une station-relais ? Tout est dans le Ciphertext...

On rapprochera ça du Sommet récent organisée par Obama dans la Silicon Valley sur la cybersécurité et la protection de la vie privée. Il n'en est pas sorti grand chose même si la NSA était là, mais un seul PDG important était là, Tim Cook d'Apple, et qu'il a beaucoup insisté sur la protection de la vie privée. Paradoxalement Google, Facebook, Amazon ou Microsoft étaient absents. Est-ce un paradoxe ? Non évidemment et ce n'est pas parce qu'ils ont décidé de snober Obama. Toutes ces compagnies reposent sur un modèle économique basé sur le recueil et la commercialisation de nos données privées. Apple vend du matériel mais garde nos données pour elle, c'est son modèle et quoi qu'on en pense il est radicalement meilleur. Alors le piratage par la NSA sur les cartes SIM et autres joyeusetés, la commercialisation de nos données par Google et consorts, et les débats sur toujours plus de sécurité sont-ils anodins ? Même Samsung s'est fait attraper avec ses télés intelligentes qui écoutent tout ce que vous dites autour d'elles : les données recueillies sont non seulement vendues à des "partenaires commerciaux (ce qui inclut la NSA)" mais également ces données ne sont pas protégées et donc toutes ces télés sont en fait des micros ouverts en permanence pour ceux qui veulent bien vous écouter. Big Brother, avez-vous dit ?

Est-ce anodin ? A chacun sa réponse. La mienne est qu'il est temps de réfléchir et de vous préoccuper des traces que vous laissez et de la valeur de vos données. Et d'agir. Loin des théories complotistes fumeuses, mais en toute responsabilité.


Aucun commentaire:

Enregistrer un commentaire