#gemplus

Gemalto minimise le vol de données et ne déposera pas plainte
▻http://www.nextinpact.com/news/93203-gemalto-minimise-vol-donnees-et-ne-deposera-pas-plainte.htm

Comme prévu, Gemalto a fini par publier un nouveau communiqué de presse et donner une conférence ce matin. L’entreprise, ciblée par la NSA et le GCHQ en 2010 et 2011, reconnait avoir été la victime d’une attaque très sophistiquée, mais les données volées seraient selon elles bien peu nombreuses, contredisant de fait certaines informations de The Intercept.

[...]

Bien entendu, un procès obligerait Gemalto à dévoiler de nombreux détails sur la manière dont la sécurité a été gérée ou encore sur ce qui a précisément été dérobé. Avec cette posture purement communicante, l’entreprise évite cette étape potentiellement douloureuse.

Sans déconner, c’est scandaleux. Scandaleux qu’on confie à une entreprise irresponsable comme Gemalto la sécurité des réseaux mobiles, réseaux stratégiques s’il en est, scandaleux que l’état et/ou l’Union Européenne n’interviennent pas ne serait-ce que pour conduire un audit indépendant, scandaleux l’absence totale de réaction officielle nationale et européenne.

Sauf erreur, il n’y a même pas eu un seul mot de l’ARCEP ou l’ANSSI pour que l’on (pas forcément individuellement, mais au moins les médias, les entreprises sensibles, etc.) sache à quoi s’en tenir précisément. Je trouve ça inquiétant quand on sait qu’on délègue nombre de mesures de sécurité à la (supposée) sécurité des réseaux mobiles, par exemple massivement dans le système bancaire. Et sans même parler d’espionnage industriel, politique, etc.

J’espère qu’en sous main ça s’agite un peu.

#Agence_nationale_de_la_sécurité_des_systèmes_d'information #France #Gemalto #Government_Communications_Headquarters #National_Security_Agency #Sécurité_informatique #Union_européenne

L’affaire Gemplus
▻http://www.franceinter.fr/emission-rendez-vous-avec-x-l-affaire-gemplus

L’espionnage change donc progressivement de nature. On s’affronte désormais à coups de virus informatiques ou de systèmes sophistiqués d’intrusion dans les mémoires électroniques. Une cyber-guerre mondiale qui mobilise les meilleurs cerveaux des services secrets et des organismes de sécurité. En France, qui n’est certainement pas le pays parmi les mieux protégés, ce sont mille attaques annuelles qui sont recensées. Mais combien d’autres passent inaperçues ! C’est pourquoi le Parlement devrait adopter prochainement une loi renforçant les procédures et les systèmes de défense existants.

Cependant, cette guerre économique souterraine qui a succédé à la guerre froide, peut prendre d’autres aspects. C’est ce que m’a raconté Monsieur X cette semaine en ouvrant le dossier de Gemplus, cette société française, leader mondial de la carte à puce, dont le trésor technologique a été l’enjeu d’une gigantesque bataille… Un conflit franco-américain qui a aussi permis l’émergence chez nous d’un nouveau concept, celui d’intelligence économique, c’est-à-dire, selon un spécialiste, la maîtrise et la protection de l’information stratégique pour tout acteur économique…

Gemplus, devenue Gemalto.

J’aurais juré avoir déjà partagé ça, mais enfin l’actualité est l’occasion de le faire pour comprendre un peu mieux. À noter que l’émission date d’avant les révélations d’Edward Snowden mais avait déjà saisi la volonté de surveillance globale des États-Unis et l’enjeu cryptographique que cela représente.

Pour faire court, c’est en 2000 que les USA mettent la main sur Gemplus via le fond d’investissement TPG Capital, outil de la CIA. Conséquence, les américains imposent à partir de fin 2001 différents figures à la tête de Gemplus, liés au renseignement américain, et en particulier à la NSA, pendant que les Français sont écartés, virés et grassement arrosés (dont devinez qui ? Ziad Takieddine). En 2002 les autorités françaises se réveillent mais sont démunies (l’affaire servira de prise de conscience du retard français en terme d’intelligence économique). Puis à partir de 2006, les USA commencent à se débarrasser partiellement puis totalement de Gemplus, qui devient alors Gemalto.

Autrement dit, il n’y a rien de très étonnant aux dernières révélations... Ce qui moi me surprend cependant davantage, c’est les choix techniques qui ont permis de laisser à Gemplus/Gemalto le soin « d’inscrire » (donc de connaitre et de conserver) elle même les clefs de chiffrements dans l’ensemble des cartes à puces de ses clients. J’aurais pensé que ses clients, en particulier les opérateurs téléphoniques, soient en mesure (voire légalement contraints) de les implémenter par eux-même. Il en va de la sécurité et de la souveraineté d’un État.

Ça me semble là un bel exemple de « négligence caractérisée » et de « défaut de sécurisation ».

#Carte_à_puce #Chiffrement #France #Gemalto #Gemplus_international #Guerre_économique #Intelligence_économique #National_Security_Agency #TPG_Capital #Économie