Simkaart gekraakt: de NSA luistert mee na hack bij Gemalto

Britse en Amerikaanse spionnen hebben de Europese simkaartmaker Gemalto gehackt en kunnen miljarden telefoons afluisteren.

Door versleutelingstechnologie van de belangrijkste producent van simkaarten te stelen kunnen Britse en Amerikaanse veiligheidsdiensten wereldwijd miljarden telefoons afluisteren.

GCHQ en NSA hebben het Frans-Nederlandse bedrijf Gemalto gehackt. Dat blijkt uit nieuw vrijgegeven documenten van klokkenluider Edward Snowden, die website The Intercept gisteren toonde. De documenten dateren uit 2010. Ook andere simkaartmakers zouden het doelwit zijn.

Gemalto maakt beveiligde chips voor bankpassen, toegangskaarten en de kleine simkaartjes die je in mobiele telefoons stopt. Van die simkaarten levert Gemalto er twee miljard per jaar aan zo’n 450 telecomproviders. Nederlandse netwerken als KPN en Vodafone maken gebruik van (onder meer) Gemalto, dat ze als ‘zeer gerespecteerd bedrijf’ omschrijven.

Hoe werkt het? Elke simkaart krijgt een eigen versleutelingscode om veilig te kunnen bellen. Dankzij een inbraak bij Gemalto wist een speciaal ‘Mobile Handset Exploitation Team’ de versleutelingscodes te onderscheppen, net voordat de simkaarten naar de telecomproviders werden gestuurd.

Zo slaagden GCHQ en NSA erin om klanten van mobiele netwerken in Yemen, Afghanistan, India, Tajikistan en Somalië af te luisteren. Ook de beveiliging van simkaarten in IJsland werd gekraakt; in 2010 zaten daar kopstukken van de WikiLeaks-organisatie.

In de VS moeten telecomproviders samenwerken met veiligheidsdiensten om afluisteren mogelijk te maken, Europeanen zijn door wetgeving beter beschermd. Die bescherming stelt weinig voor als Britse en Amerikaanse spionnen via een computerinbraak alsnog mee kunnen luisteren.

Gemalto zegt de onthullingen „zeer serieus te nemen” en onderzoekt of de omschreven hack iets te maken heeft met eerdere hackpogingen. Het bedrijf ligt continu onder vuur omdat het ook beveiliging levert voor bankpassen en toegangskaarten.

Op Gemalto’s hoofdkantoor in Amsterdam werken zo’n dertig mensen; het bedrijf is genoteerd aan de AEX, de meeste medewerkers zitten in Frankrijk. Het is niet de eerste keer dat Europese bedrijven op de korrel worden genomen, de Britse geheime dienst hackte in 2010 ook Belgacom. Daarbij werd zeer geavanceerde inbraaksoftware gebruikt, Regin genaamd.

Olivier Piou, topman van Gemalto, zei in een interview met NRC Handelsblad in december 2013 al dat een dergelijke hack zou kunnen plaatsvinden. Gevraagd naar zijn reactie op een eerdere hack bij het Amerikaanse veiligheidsbedrijf RSA en de Snowden-affaire zei Piou toen: „Wij beschermen je tegen fraude en cybercriminelen. Dat is wat anders dan staten die elkaar bespioneren. Natuurlijk kan ons ook gebeuren wat RSA overkwam. Als een staat een bedrijf aanvalt, is de strijd niet gelijkwaardig. Je kunt niet zeggen dat de VS het goede voorbeeld geven.”

Is alle communicatie via de mobiele telefoon nu onveilig? Het oude 2G-netwerk was al makkelijk te kraken. 3G- en 4G-netwerken hebben betere encryptiestandaarden maar wie de versleuteling van de simkaart weet te omzeilen, kan moeiteloos meeluisteren. Dat wil nog niet zeggen dat alle mobiele communicatie onveilig is. Chat-apps die stevig versleutelde berichten versturen blijven een doorn in het oog van veiligheidsdiensten.