(...) Une fois de plus, l’industrie des télécoms nous montre qu’elle est incapable d’assurer la sécurité de ses clients. Publiés par The Intercept, des documents d’Edward Snowden révèlent que la NSA et le GCHQ détroussent les fabricants de cartes SIM tels que Gemalto depuis au moins 2010, afin de mettre la main sur des millions de clés d’authentification censées assurer la protection des communications entre le téléphone mobile et la station de base.

En effet, chaque carte SIM est dotée d’une clé d’authentification unique baptisée « Ki » qui permet à l’opérateur de vérifier l’identité de l’abonné au moment où celui-ci se connecte au réseau : la station de base envoie un message aléatoire au terminal qui le renvoie après l’avoir chiffré avec la clé Ki. L’opérateur, qui détient également la clé Ki, procède à la même opération, puis compare les deux résultats : s’ils sont égaux, bingo, l’utilisateur est connecté.

Les gardiens des clés pas très vigilants

Mais la clé « Ki » ne sert pas seulement à authentifier l’utilisateur, elle est également utilisée pour générer la clé dite « Kc » qui est différente à chaque connexion et qui servira à chiffrer les communications entre le terminal et la station de base. Or, celui qui connait « Ki » peut retrouver « Kc », et donc déchiffrer les communications. (...)

Selon les documents d’Edward Snowden, plusieurs millions de clés ont pu être volées en l’espace de trois mois en 2010. A cette époque, la NSA précisait qu’elle était capable de de traiter et archiver entre 12 et 22 millions de clés... par seconde. Et que son objectif était d’arriver à 50 millions. Cette énorme capacité de traitement laisse imaginer le pire. NSA et GCHQ ont peut-être d’ores et déjà la main sur la majorité des clés de cartes SIM dans le monde.

Face à ces révélations, la conclusion est que les communications mobiles ne peuvent plus être considérées comme sécurisées.