The scariest thing about the British SIM card hack is how little it accom­pli­shed


The Gemalto attack is unique not just for its aggres­sive scope, but for how little it seems to have actually accom­pli­shed. Intel­li­gence agen­cies were already able to listen in on phone conver­sa­tions through targe­ted exploits, stin­gray attacks and carrier requests. While the Gemalto attack took bold and crimi­nal steps to break through SIM encryp­tion, it seems to have offe­red only a margi­nal impro­ve­ment in that ability.

Pour faire court, il faut 2h sur un PC stan­dard pour casser la crypto de la 3G, encore moins pour la 2G. La crypto ne sert de toutes façons qu’entre l’an­tenne relai et le télé­phone. Pour ceux (dont font partie la NSA) qui ont le plus souvent accès aux données derrière l’an­tenne relai, ça n’ap­porte un bonus que dans des cas assez limi­tés. Ne parlons même pas du fait de monter des fausses antennes relai, qui doit être plus facile que d’écou­ter et déchif­frer le trafic en temps réel.

Intel­li­gence agen­cies are unac­coun­table by design

If that sounds reas­su­ring, it shouldn’t. If anything, it’s proof of how out of control the GCHQ really is. […] The agen­cies are unac­coun­table by design, and there’s no indi­ca­tion that will change any time soon.

Ils l’ont fait parce qu’ils peuvent le faire, qu’ils n’ont aucune limite. Il n’y a aucune évalua­tion de propor­tion­na­lité, d’étude de besoin. Nous lais­sons notre sécu­rité mais aussi notre démo­cra­tie à ces gens là, hors contrôle.

Cela dit ce que tout le monde feint d’igno­rer, c’est que plus que les cartes SIM pour télé­phone portable, Gemalto produi­sait aussi les cartes à puce pour les cartes bancaires et pour les cartes d’ac­cès sécu­ri­sées de beau­coup d’en­tre­prises.

via theverge


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.