Gemalto-topman hield rekening met spionage-aanval

Foto iStock

In de wereld van telecomproviders en privacyvoorvechters is geschokt gereageerd op het nieuws dat simkaartproducent Gemalto gehackt zou zijn. Door versleutelingstechnologie van de belangrijkste producent van simkaarten te onderscheppen kunnen Britse en Amerikaanse veiligheidsdiensten wereldwijd miljarden telefoons afluisteren.

GCHQ en NSA hebben het Frans-Nederlandse bedrijf Gemalto gehackt. Dat blijkt uit nieuw vrijgegeven documenten van klokkenluider Edward Snowden, die website The Intercept gisteren toonde. De documenten dateren uit 2010. Ook andere simkaartmakers zouden het doelwit zijn.

Gemalto maakt beveiligde chips voor bankpassen, toegangskaarten en de kleine simkaartjes die je in mobiele telefoons stopt. Van die simkaarten levert Gemalto er twee miljard per jaar aan zo’n 450 telecomproviders. Nederlandse netwerken als KPN, Vodafone, T-Mobile maken gebruik van (onder meer) Gemalto, dat ze als ‘zeer gerespecteerd bedrijf’ omschrijven.

Ook IJsland werd afgeluisterd

Hoe werkt het? Elke simkaart krijgt een eigen versleutelingscode om veilig te kunnen bellen. Dankzij een inbraak bij Gemalto wist een speciaal ‘Mobile Handset Exploitation Team’ de versleutelingscodes te onderscheppen, net voordat de simkaarten naar de telecomproviders werden gestuurd. Zo slaagden GCHQ en NSA erin om klanten van mobiele netwerken in Jemen, Afghanistan, India, Tadzjikistan en Somalië af te luisteren. Dat soort landen zijn de usual suspects, als het gaat om terrorismebestrijding. Ook de beveiliging van simkaarten in IJsland werd gekraakt; in 2010 zaten daar kopstukken van de WikiLeaks-organisatie.

In de VS moeten telecomproviders samenwerken met veiligheidsdiensten om afluisteren mogelijk te maken, Europeanen zijn door wetgeving op papier beter beschermd tegen massale, ongecontroleerde afluisterprogramma’s. Die bescherming stelt weinig voor als Britse en Amerikaanse spionnen via een computerinbraak alsnog mee kunnen luisteren.

 Gemalto ligt continu onder vuur

Gemalto zegt de onthullingen „zeer serieus te nemen” en onderzoekt of de omschreven hack iets te maken heeft met eerdere hackpogingen.

“We take this publication very seriously and will devote all resources necessary to fully investigate and understand the scope of such sophisticated techniques”

Het bedrijf ligt continu onder vuur omdat het ook beveiliging levert voor bankpassen en toegangskaarten. Op Gemalto’s hoofdkantoor in Amsterdam werken zo’n dertig mensen; het bedrijf is genoteerd aan de AEX, de meeste medewerkers opereren vanuit Frankrijk. Gemalto heeft ook vele lokale vestigingen. Daar zouden medewerkers die verantwoordelijk zijn voor verzenden van de versleutelingscodes gehackt zijn. De spionnen wisten toegang te krijgen tot email en Facebook-accounts van Gemalto-medewerkers, door cyberstalking.

Het is niet de eerste keer dat Europese bedrijven op de korrel worden genomen, De Britse geheime dienst zat ook achter de inbraak bij Belgacom. Daarbij werd zeer geavanceerde inbraaksoftware gebruikt, Regin genaamd. Ook Duitsland was al het slachtoffer van hackaanvallen van GCHQ en NSA.

Gemalto-topman hield rekening met hack

Olivier Piou, topman van Gemalto, zei in een interview met NRC Handelsblad in december 2013 al dat een dergelijke hack zou kunnen plaatsvinden. Gevraagd naar zijn reactie op een eerdere hack bij het Amerikaanse veiligheidsbedrijf RSA en de Snowden-affaire zei Piou toen:

„Wij beschermen je tegen fraude en cybercriminelen. Dat is wat anders dan staten die elkaar bespioneren. Natuurlijk kan ons ook gebeuren wat RSA overkwam. Als een staat een bedrijf aanvalt, is de strijd niet gelijkwaardig. Je kunt niet zeggen dat de VS het goede voorbeeld geven.”

Fragment uit het gesprek met Olivier Piou in december 2013, over het risico op cyberspionage  voor Gemalto.

Piou wees er eind 2013 al op je als bedrijf niet of nauwelijks kunt verdedigen tegen het enorme leger cyberwarriors dat beschikking heeft tot onbeperkte budgetten. “Kijk naar de Stuxnet-aanval. Om die hardware te kraken is zoveel geld uitgegeven, daar kan Gemalto’s R&D budget van tien jaar niet tegen op.”

Maar kun je nog veilig bellen en chatten?

Is alle communicatie via de mobiele telefoon nu onveilig? Het oude 2G-netwerk was al makkelijk te kraken. 3G- en 4G-netwerken hebben betere encryptiestandaarden maar wie de versleuteling van de simkaart weet te omzeilen, kan moeiteloos meeluisteren. Je kunt dus niet vertrouwen op de infrastructuur zelf - sowieso is dat niet verstandig als je gevoelige informatie verstuurt.   Niet alle mobiele communicatie is onveilig: chat-apps die stevig versleutelde berichten versturen  (en alleen ontsleutelen bij het toestel van de verzender en de ontvanger)  blijven een doorn in het oog van veiligheidsdiensten.  Onder meer Telegram,  iMessage van Apple, en ook WhatsApp bieden deze zogenaamde ‘end-to-end’ encryptie. Net als gespecialiseerde apps zoals die van Silent Circle.

Lees ook: Er is geen ruimte voor fouten - het hele interview met Gemalto-topman Olivier Piou uit 2013