Question parlementaire urgente concernant le vol probable de plusieurs millions de clés d’encryptage de cartes SIM de la société Gemalto par le service secret anglais GCHQ et le NSA américain

Monsieur le Président,

Suite aux révélations concernant le vol de plusieurs millions de clés d’encryptage de cartes SIM de la société Gemalto par le service secret anglais GCHQ et le NSA américain, j’aimerais poser la  question urgente suivante à Monsieur le Ministre d’Etat, Ministre des Communications et des Médias et à Monsieur le Ministre de la Justice, l’urgence étant motivée par le problème de sécurité pour les usagers concernés.

En 2013, 2014 et 2015, les révélations du lanceur d’alerte Edward Snowden ont contribué à faire connaître au grand public l’ampleur des renseignements collectés par les services secrets américains et britanniques. Elles ont notamment mis en lumière les programmes PRISM et XKeyscore de collecte des informations en lignes, le programme GENIE d’espionnage d’équipements informatiques à l’étranger, l’espionnage de câbles sous-marins de télécommunications intercontinentales et d’institutions internationales comme le Conseil européen à Bruxelles ou le siège des Nations Unies, ainsi que de nombreuses pratiques en cours au sein de l’agence pour parvenir à ses fins. Hier le site « The Intercept » révéla que l’analyse continuée des documents de Snowden a permis de dévoiler une des intrusions les plus importantes de l’histoire de la communication moderne. Ainsi, «en 2010 et 2011, une unité spéciale formée d’opérateurs du service secret anglais GCHQ et de la NSA américaine aurait piraté des clés d’encryptage inscrites dans des cartes SIM par Gemalto et possiblement d’autres fabricants. (…) il s’agirait d’une tentative pour atteindre le plus grand nombre de téléphones portables possible dans le but de surveiller les communications mobiles sans l’accord des opérateurs et des usagers.» (Information publiée par Gemalto.com le 20.2.2015). Rien que pendant trois mois en 2010 les services secrets américains et britanniques se seraient emparés de plusieurs millions de clés d’encryptage, permettant de suivre toute communication sur les appareils où ces cartes SIM ont été installées.

Gemalto, société de droit néerlandais, est le leader mondial des cartes SIM, qu’elle fournit à 450 opérateurs dans 85 pays. Selon ‘Le Monde’ de ce jour, «cette société de sécurité informatique conçoit et commercialise également des puces sécurisées pour cartes bancaires, pour les cartes d’identité et permis de conduire de plusieurs pays, dont l’Afrique du Sud et les Pays-Bas, ou encore les passeports biométriques de la Belgique.» Tout ceci concerne directement le Grand-Duché du Luxembourg, aussi bien en ce qui concerne les appareils téléphoniques, que les cartes bancaires et autres moyens de communication et d’identification. En plus, Luxtrust S.A., dont l’Etat luxembourgeois est actionnaire  et associé, est en charge de la sécurité de la signature électronique mise ne place au Luxembourg. Pour gérer et débloquer un code PIN, Luxtrust S.A. recommande aux utilisateurs d’installer sur leur PC le logiciel Middleware de Gemalto.

Dans ce contexte, j’aimerais savoir de Monsieur le Ministre d’Etat, Ministre des Communications et des Médias et de Monsieur le Ministre de la Justice:

1)      Messieurs les Ministres peuvent-ils m’informer dans quels appareils de communication, cartes bancaires, Smartcards, Signing Stick, Token cartes d’identités, passeports, permis de conduire, Certificats SSL ou autres produits de communication ou d’identification sont installés des cartes SIM fournis par Gemalto?

2)      Messieurs les Ministres peuvent-ils exclure que les cartes SIM d’autres fabricants sont concernés par le vol de clés d’encryptage de la part des services secrets américains et britanniques?

3)      Messieurs les Ministres peuvent-ils confirmer que le vol des clés d’encryptage permet aux services secrets concernés d’intercepter les communications, même encryptées, venant ou à destination des appareils concernés?

4)      Les clés d’encryptage permettent-elles d’avoir accès aux données personnelles des appareils, certificats SSL et pièces d’identification concernées, les communications via signature électronique ou encore les données détenues par les banques et accessibles via e-banking?

5)      Dans quelle mesure les logiciels fournis par Gemalto, tel le logiciel Middleware proposé par Luxtrust S.A. pour gérer et débloquer un code PIN, permettent de suivre des communications ou d’accéder à des données personnelles ou confidentielles?

6)      Messieurs les Ministres peuvent-ils exclure que les services ayant opéré le vol incriminé aient eu accès aux données stockés par les opérateurs de services de communication dans le cadre de la rétention de données (Datenvorratsspeicherung)?

7)      Messieurs les Ministres peuvent-ils exclure que le Service de Renseignement de l’Etat Luxembourgeois (SREL) ait été impliqué dans les opérations de vols de clés d’encryptage?

8)      Messieurs les Ministre peuvent-ils exclure que le SREL reçoive ou utilise des informations provenant de l’utilisation des clés d’encryptage volées par les services américains et britanniques?

9)      Le Gouvernement demande-t-il au Parquet d’enquêter dans cette affaire qui presque tous les citoyens demeurant ou travaillant au Luxembourg, de même que beaucoup d’entreprises et d’administrations publiques y installées?

10)   Messieurs les Ministres peuvent-ils me renseigner sur les mesures que le Gouvernement compte prendre pour protéger les citoyens, entreprises et administrations par rapport à de telles pratiques inadmissibles?

Veuillez croire, Monsieur le Président, à l’expression de nos sentiments respectueux.

Justin Turpel,

Député

-> Réponse

logo European Left logo GUE/NGL logo Transform! Europe