Espagne : Le CNI prévient contre un autre « cas Pegasus »

Tags : Espagne, Pegasus, espionnage, Maroc, NSO Group,

Le CNI donne des directives pour éviter un autre « cas Pegasus » sur les téléphones du gouvernement
Les services secrets rappellent aux ministres et hauts fonctionnaires qu’ils ne peuvent utiliser que des terminaux « homologués et configurés » par leurs experts en cryptologie
Oscar Lopez-Fonseca
OSCAR LOPEZ-FONSECA

Le Centre national de renseignement (CNI) a récemment transmis aux principales agences et institutions de l’État un document contenant des consignes de sécurité obligatoires pour protéger les téléphones portables des hauts responsables de l’administration et du gouvernement par lesquels circulent des « informations classifiées nationales » et, en général,  » information sensible ». Le document, de diffusion limitée et auquel EL PAÍS a eu accès, indique que l’objectif est de s’assurer que les terminaux sont « résistants aux différentes menaces pouvant affecter la sécurité des informations traitées ou le système lui-même, telles que les attaques de logiciels espions », dont il donne comme exemple Pegasus, le programme d’origine israélienne utilisé pour infecter les téléphones portables de Pedro Sánchez et de trois de ses ministres, le chef de l’Intérieur, Fernando Grande-Marlaska ; Défense, Margarita Robles, et Agriculture, Luis Planas.

L’initiative des services secrets survient précisément 10 mois après que l’exécutif a rendu public qu’en mai 2021, il y avait eu une intrusion dans les téléphones de ces quatre membres du gouvernement. L’événement fait depuis l’objet d’une enquête par le juge du Tribunal national José Luis Calama pour un éventuel crime de découverte et de divulgation de secrets. Le document CNI avec les lignes directrices, daté de ce mois et long de 13 pages, a été préparé par le Centre national de cryptologie (CNN), une organisation dépendante des services secrets et dont les fonctions sont « la sécurité des technologies de l’information de l’administration qui traite , stocker ou transmettre des informations sous forme électronique » qui « nécessitent une protection et comprennent des moyens de cryptage ». Le CCN élabore les normes de cybersécurité, forme le personnel et certifie la fiabilité de la technologie utilisée au sein du Gouvernement.

Dans ce sens, le document se concentre sur les terminaux téléphoniques, qu’il qualifie de « composant le plus critique car le plus exposé aux menaces provenant, d’une part, de la perte, du vol ou de la manipulation de l’appareil et, d’autre part, d’autre part, à l’exposition par connexion directe à des réseaux non sécurisés », parmi lesquels il cite les réseaux Wi-Fi des « aéroports, cafétérias, hôtels, etc. ». Le document rappelle aux hauts fonctionnaires et aux membres du gouvernement qu’ils sont tenus d’utiliser exclusivement des « appareils mobiles homologués et correctement configurés » – c’est-à-dire préalablement approuvés par les experts du CCN – conformément aux normes contenues dans une instruction préparée par le service lui-même. secrète et baptisée CCN-STIC-496, qui a été publiée en avril 2021, peu avant, justement, les infections survenues sur les mobiles des membres du Gouvernement.

Les services secrets soulignent que les hauts fonctionnaires de l’Administration doivent utiliser pour leurs communications officielles uniquement les terminaux appelés COBO (Corporate Owned Business Only), mis à la disposition de l’utilisateur par l’administration elle-même pour l’exercice de leurs fonctions. « L’utilisateur ne peut pas utiliser l’appareil mobile de l’entreprise à des fins personnelles », souligne le document. Ces terminaux ont leurs communications « restreintes » et ne peuvent contacter que d’autres téléphones d’administration faisant partie du réseau sécurisé. Il leur est également interdit d’effectuer des mises à jour automatiques du système d’exploitation ou de télécharger des applications commerciales « en raison du risque élevé que les deux connexions comportent ».

Le document du Centre national de cryptologie analyse les possibilités et les risques de « l’utilisation de la technologie 5G à usage gouvernemental », dont il avertit que, bien qu’il « offre de nouvelles possibilités en matière de sécurité et de protection des communications », dans ces Actuellement , l’évaluation et la certification de ces avantages supposés « est très complexe, elle n’est pas mature et on ne s’attend pas à ce qu’elle le soit à court terme », raison pour laquelle elle s’engage à maintenir pour l’instant « des mesures classiques ». Pour cette raison, elle souligne à plusieurs reprises que l’utilisation de terminaux « évalués et certifiés de manière fiable et véridique » continue d’être essentielle pour garantir la confidentialité des communications, même si elle admet que cela ne suffit pas. Et il souligne la nécessité d’adopter d’autres mesures, telles que l’utilisation d' »un système d’exploitation autre que commercial » dans le but que « toutes les communications parviennent à l’organisation par un tunnel [terme utilisé pour désigner le gouvernement et d’autres institutions de l’État] d’accéder aux différents services, empêchant ainsi tout accès direct à Internet depuis le terminal et inversement ».

En effet, les experts soulignent que les connexions Internet réalisées à partir de ces téléphones se font « à travers une zone d’interconnexion sécurisée contrôlée par l’organisme » afin qu’il soit « beaucoup plus facile de surveiller » d’éventuelles fuites d’informations sensibles ou de détecter un fonctionnement anormal du terminal. c’est un symptôme de ce dernier. Dans ce sens, la nouvelle directive de sécurité stipule que tous les téléphones des hautes institutions du pays doivent utiliser exclusivement un pare-feu (un pare-feu, un système de sécurité qui restreint le trafic Internet entrant ou sortant ou au sein d’un réseau privé) de « l’organisation » et non d’autres qui sont commercialisés. L’objectif est d’empêcher une faille de sécurité qui permettrait à des programmes potentiellement dangereux tels que Pegasus d’entrer.

La directive rappelle que les « applications de communications mobiles sécurisées » qui cryptent les informations – en référence aux applications de messagerie instantanée telles que Telegram ou Signal – sur les téléphones non visas « n’offrent par elles-mêmes aucune protection contre les programmes espions », en plus de ne protégeant pas le terminal « contre d’autres types d’attaques », comme la « modification malveillante d’autres applications » déjà installées sur l’appareil. Par conséquent, il interdit son utilisation pour la transmission d’informations sensibles.

El Pais, 20 FÉV 2023

#Espagne #Espionnage #Pegasus #CNI