Le service mobile lui-même devient une cyber-arme
Enea exhorte le comité PEGA de l'UE à élargir son champ d'action au-delà des logiciels espions pour lutter contre les menaces de surveillance mobile et l'exploitation des infrastructures de signalisation.
La commission d’enquête PEGA de l’UE se compose de 38 députés, elle a été créée en mars 2022 par le Parlement européen pour enquêter sur les logiciels espions, en particulier en ce qui concerne le ciblage présumé de journalistes, d’avocats, de responsables de l’application des lois, de diplomates et d’autres personnes influentes dans l’UE. Rowland Corr, vice-président des relations gouvernementales chez Enea, a comparu lors de la dernière audience du Comité le 16 mars 2023 et a préfacé sa contribution en exhortant le Comité à élargir sa portée, soulignant le fait que d’autres formes d’espionnage au-delà de l’utilisation de logiciels espions se produisaient régulièrement sur les réseaux mobiles qui étaient pertinents pour les préoccupations du Comité.
La commission PEGA a été chargée de recueillir des informations sur la mesure dans laquelle les États membres ou les pays tiers utilisent la surveillance intrusive dans la mesure où elle viole les droits et libertés inscrits dans la Charte des droits fondamentaux de l’UE. L’enquête a un mandat de 12 mois, que le Parlement peut prolonger si nécessaire. Un rapport basé sur les conclusions de l’enquête devrait être publié plus tard cette année.
Une cyber-arme
Les logiciels espions sont la pointe de l’iceberg dans la surveillance des télécommunications mobiles. Les vulnérabilités des réseaux mobiles et les lacunes de gouvernance sont exploitées par les acteurs de la menace pour exécuter des intrusions non autorisées en toute impunité. Ce domaine de risque n’est pas suffisamment compris, signalé ou intégré au niveau national. La protection des infrastructures critiques, la cybersécurité et la sécurité nationale se recoupent lorsqu’il s’agit de la sécurité des réseaux mobiles. Et la clé de l’amélioration de la résilience peut résider dans l’accent mis sur la capacité plutôt que sur la conformité de la part des parties prenantes, qu’il s’agisse d’opérateurs, de régulateurs ou d’agences cybernétiques.
Récemment, le potentiel d’utilisation de l’accès à l’infrastructure basée dans l’UE par des acteurs de pays tiers comme outil de surveillance, distinct de l’utilisation de logiciels espions, a considérablement augmenté. Il est important d’examiner les menaces de surveillance au-delà de l’utilisation de base d’outils de logiciels espions comme Pegasus et, en parallèle, de se concentrer sur l’infrastructure dans son ensemble.
Un domaine clé de vulnérabilité est la signalisation des télécommunications mobiles et l’abus d’accès à l’infrastructure de signalisation. Pour replacer cette vulnérabilité dans son contexte en tant que domaine de risque de surveillance, l’utilisation de logiciels espions mobiles militarise l’appareil personnel de la victime et l’utilisation de la signalisation mobile militarise le réseau qui la dessert. En termes simples, entre les mains des attaquants, le service mobile lui-même devient la cyber-arme. Alors que la 5G est adoptée dans le monde entier, il existe un besoin urgent d’interfonctionnement sécurisé entre les protocoles, les éléments de réseau (à travers les générations) et un besoin d’interconnexions sécurisées aux niveaux national et international. Cela représente un domaine de plus en plus complexe et critique au sein des communications électroniques.