Gemalto weet dat het voer voor spionnen blijft

Gemalto zegt dat de hack door

geheime diensten amper effect

had: „Uw simkaart is veilig”.

Alles onder controle dus? Nee.

Foto

De nachtmerrie voor elk beveiligingsbedrijf: zelf kwetsbaar blijken voor hackers. Dat gebeurde bij RSA en VeriSign in de VS. En bij Diginotar, dat digitale certificaten aan de Nederlandse overheid leverde. Ook Gemalto was de klos, blijkt nu. Het Frans-Nederlandse IT-bedrijf – slogan: World Leader in Digital Security’ – was in 2010 en 2011 doelwit van Britse en Amerikaanse geheime diensten die toegang zochten tot beveiligde simkaarten.

Volgens uitgelekte documenten van klokkeluider Edward Snowden zou Gemalto gehackt zijn om telefoons af te luisteren in Afghanistan, Afrika en het Midden-Oosten. De GCHQ en de NSA hadden het voorzien op systemen die de versleuteling koppelen aan individuele  simkaarten.

Gemalto presenteerde gisteren een onderzoek, vijf dagen na publicatie van de documenten op nieuwssite The Intercept. Het bedrijf heeft gegronde vermoedens dat GCHQ en NSA inderdaad achter geavanceerde aanvallen in 2010 en 2011 zitten. Maar Gemalto onderneemt geen juridische stappen. Topman Olivier Piou: „Het is moeilijk een staat voor de rechter te slepen, laat staan een geheime dienst.” Zeker als het bewijsmateriaal niet spijkerhard is; er zijn alleen overeenkomsten gevonden tussen de omstandigheden die in de Snowden-documenten genoemd worden en de manier waarop Gemalto ooit aangevallen is. Geen sporen in de kwaadaardige code die rechtstreeks naar een geheime dienst verwijzen, bijvoorbeeld.

Gemalto deed een snelle inventarisatie van eerder ontdekte hacks. Een uitgebreide test op indringers duurt weken. Voor die test is wel reden: in de documenten schepten GCHQ- en NSA-medewerkers op dat ze toegang hadden tot bijna het volledige Gemalto-netwerk – al zou het niet de eerste powerpointpresentatie zijn die overdrijft.

Is Gemalto dus te haastig? In elk geval is zo’n assessment niet voldoende om het sein ‘brand meester’ te geven. Toch was dat wat topman Olivier Piou gisteren probeerde uit te stralen: vrolijk grinnikend voor de camera’s, om te laten zien dat alles onder controle was. „Ook onze klanten zagen er de humor wel van in.”, aldus Piou.

Is hij dan niet geschokt? Of boos? Piou zegt dat hij de geheime diensten niet als ‘vijanden’ beschouwt. Sinds ‘9/11’ hoort het erbij, dat je als beveiligingsbedrijf op de korrel wordt genomen door veiligheidsdiensten; dat gold in 2010 en 2011 en waarschijnlijk ook nog in 2015. Wat volgens Piou kwalijker is dat de geavanceerde aanvalsmethoden uitlekken en in handen komen van cybercriminelen.

Geen nieuwe simkaarten

Het onderzoek mag dan onvolledig zijn, Gemalto heeft alle reden om vertrouwen uit te stralen; eenderde van de jaaromzet (2,4 miljard euro in 2013) komt van ‘simmetjes’. De handel in simkaarten is een volumemarkt met miljarden mobiele apparaten; de beveiliging – ook de afhandeling van het transport – moet zo goedkoop mogelijk blijven. De beveiliging van een bankchip (die Gemalto ook maakt) mag bijvoorbeeld 4 of 5 keer meer kosten dan een simkaart.

Gemalto wijst op fouten in de Snowden-documenten. Daarin wordt gerept van diefstal van 300.000 versleutelingscodes in Somalië. De telecomprovider in dat land was echter geen Gemalto-klant.

Er zou ook geen sprake zijn van massale diefstal van beveiligingssleutels. Alleen oudere 2G-netwerken zouden kwetsbaar zijn. Gemalto bemoeit zich amper meer met die goedkope sims, zegt Piou. Bij 3G- en 4G-netwerken is het transport van simkaarten (van Gemalto naar de provider) beter beveiligd. Gesprekken via die netwerken kunnen alleen afgeluisterd worden door de encryptie te ‘breken’; niet door een gestolen code in te voeren.

Het is dus niet nodig je sim te vervangen, zegt Gemalto. Nederlandse telecomproviders beamen dat: zij hebben ook geen zin in een prijzige wisseltruc. Toch circuleerde in de Tweede Kamer een interne mail dat Kamerleden hun simkaart konden inruilen. Dat is nergens voor nodig, zei minister Plasterk (Binnenlandse Zaken, PvdA) gisteren. Politieke verontwaardiging over de hack door spionnen van bevriende mogendheden was nauwelijks te horen. Zelfs al staat Gemalto’s hoofdkantoor in Amsterdam.