Gemalto: geheime diensten probeerden ons te hacken

Foto Reuters / Dado Ruvic

Het Frans/Nederlandse IT-bedrijf Gemalto bevestigt vermoedens dat Britse en Amerikaanse veiligheidsdiensten hebben geprobeerd in te breken, om versleutelingscodes van simkaarten te stelen en mobiele bellers af te luisteren.

Gemalto vond meerdere incidenten die in verband zouden staan met NSA en GCHQ, meldt het bedrijf in een onderzoek. Gemalto levert twee miljard simkaarten per jaar aan zo’n 450 mobiele netwerken wereldwijd.

Update 14.25 uur:

Gemalto onderneemt geen juridische stappen tegen de Britse en Amerikaanse geheime diensten GCHQ en NSA die het bedrijf gehackt hebben. Daarvoor ontbreekt het aan harde bewijzen, zegt topman Olivier Piou per telefoon. Er zijn alleen treffende overeenkomsten gevonden tussen de omstandigheden die in de Snowden-documenten genoemd worden en de manier waarop Gemalto aangevallen is. Piou laat weten dat hij de geheime diensten niet als ‘vijanden’ van het beveiligingsbedrijf beschouwt.

Gemalto benadrukt dat de uitgelekte Snowden-documenten niet volledig kloppen. Er zou geen sprake van massale diefstal van beveiligingssleutels en de systemen waar Gemalto jaarlijks twee miljard simkaarten van een geheime code voorziet, zijn onaangetast. De Snowden-documenten reppen over diefstal van 300.000 versleutelingscodes in Somalië. Die bewuste telecomproviderm in dat land was geen Gemalto-klant, zegt het bedrijf.

Vorige week meldde The Intercept op basis van uitgelekte documenten van klokkenluider Edward Snowden dat hackers toegang hadden tot Gemalto’s computers. Zo zouden grote hoeveelheden encryptiesleutels gestolen zijn om telefoons af te luisteren, vooral in het Midden-Oosten, Afrika en Afghanistan.

Het bedrijf stelde een onderzoek in en vond meerdere geavanceerde spionagepogingen die toe te wijzen zouden zijn aan NSA of GCHQ, zegt het bedrijf in een rapport. Het gaat om mailtjes met kwaadwillende software, bedoeld om de controle over de computer te krijgen. Deze incidenten deden zich voor in 2010 en 2011 en waren gericht tegen de systemen waarmee Gemalto-medewerkers met elkaar communiceren. “Destijds waren we niet in staat de daders te identificeren maar nu denken we dat deze hackers in verband staan met NSA en GCHQ”, schrijft Gemalto.

‘Simkaart is veilig’

Het zou de hackers niet gelukt zijn om door te dringen tot lagen van het netwerk waar versleuteling van simkaarten wordt geregeld. De veiligheid van simkaarten zou niet in het geding zijn, benadrukte Gemalto twee dagen geleden al. Het bedrijf gaf toen al aan geen financiële schade te verwachten naar aanleiding van de berichten over een hack.

Documenten van The Interceptor toonden aan dat hackers toegang hadden tot “personalisatiecentra” waar alle simkaarten hun individuele encryptiesleutel krijgen. Volgens Gemalto klopt de getoonde lijst van personalisatiecentra niet. Ook zou Gemalto niet aan alle genoemde mobiele netwerken leveren.

Volgens de Snowden-documenten wilden de geheime diensten bellers afluisteren in Afghanistan, Jemen, India Servië, Iran, IJsland, Somalië, Pakistan en Tadzjikistan. Gemalto zegt dat de mobiele netwerken in die landen 2010 en 2011 vaak 2G-technologie gebruikten, die makkelijk af te luisteren is. De huidige generatie 3G en 4G-netwerken zou beter bestand zijn tegen diefstal van encryptiesleutels.

Gemalto maakt beveiligde chips voor bankpassen, toegangskaarten en de kleine simkaartjes die je in mobiele telefoons stopt. Van die simkaarten levert Gemalto er twee miljard per jaar aan zo’n 450 telecomproviders. Nederlandse netwerken als KPN, Vodafone, T-Mobile maken gebruik van (onder meer) Gemalto, dat ze als ‘zeer gerespecteerd bedrijf’ omschrijven.

Topman hield rekening met hack

Olivier Piou, topman van Gemalto, zei in een interview met NRC Handelsblad in december 2013 al dat een dergelijke hack zou kunnen plaatsvinden. Gevraagd naar zijn reactie op een eerdere hack bij het Amerikaanse veiligheidsbedrijf RSA en de Snowden-affaire zei Piou toen:

“Wij beschermen je tegen fraude en cybercriminelen. Dat is wat anders dan staten die elkaar bespioneren. Natuurlijk kan ons ook gebeuren wat RSA overkwam. Als een staat een bedrijf aanvalt, is de strijd niet gelijkwaardig. Je kunt niet zeggen dat de VS het goede voorbeeld geven.”

Lees verder op NRC Q: Gemalto-topman hield rekening met spionage-aanval en in NRC: Simkaart ‘gehackt, niet gekraakt’.