Après l’attaque contre le Ministère de l’Intérieur, confirmée hier par le vol de certains ordinateurs, l’Initiative CpC – Citoyens pour la Cybersécurité rappelle aujourd’hui les avertissements qu’elle a envoyés aux différents partis de l’Assemblée de la République et au Gouvernement de la République d’alors concernant les risques dans l’État portugais, mais qui ont été ignorés.
“En mai 2023, l’Initiative CpC : Citoyens pour la Cybersécurité concernant la controverse sur l’équipement de Frederico Pinheiro, alors conseiller : ‘Ce qui aurait dû être fait (et ne l’a pas été) avec le téléphone portable et l’ordinateur de Frederico Pinheiro’
https://cidadaospelaciberseguranca.com/2023/05/18/o-que-deveria-ter-sido-feito-e-nao-foi-com-o-telemovel-e-computador-de-frederico-pinheiro/ avait élaboré une série de propositions qui ont été envoyées à tous les partis parlementaires et au gouvernement de la République : elles sont restées sans réponse”, garantit-il.
Aujourd’hui, le 29 août 2024, « on a appris que le Secrétariat général du ministère de l’Intérieur avait été cambriolé. Des voleurs ont saccagé les bureaux et ont pris 8 ordinateurs appartenant aux responsables. Le vol a eu lieu aux premières heures de ce mercredi. Plusieurs ordinateurs ont été confisqués, dont deux appartenant aux responsables du secrétariat. Les caméras de surveillance ne fonctionnaient pas”, selon des informations confirmées hier dans un communiqué du MAI.
Le bâtiment du Secrétariat général du ministère de l’Administration intérieure, situé Rua de São Mamede, à Lisbonne, a été cambriolé ce matin, dans le cadre d’une enquête menée par la police de sécurité publique, a indiqué à Lusa une source du PSP.
Et ils continuent : “Selon cette nouvelle, ‘les voleurs auraient même réussi à voler le matériel informatique utilisé par les responsables de ce secrétariat, comme l’ordinateur de Teresa Costa, secrétaire générale adjointe, et celui de la responsable du département informatique. Il est étrange qu’on tente de réduire la gravité de ce qui s’est passé : « certains ordinateurs ont été volés », dont certains « n’avaient pas encore été utilisés car il s’agissait de pièces de rechange » ainsi que la facilité avec laquelle les un vol s’est produit : l’agent de sécurité en service ne s’est pas aperçu. Vous étiez les bienvenus ; les caméras étaient éteintes et l’accès était facilité par la présence d’échafaudages.
Le CpC souligne également que « dans la réponse du MAI, rien n’indique que ces équipements sensibles (comme celui du secrétaire général adjoint et celui du responsable du domaine informatique) suivaient les recommandations que nous avions formulées en 2023 et qui proposaient la « révision ». de procédures, de pratiques et de politiques à appliquer aux équipements de l’État et, plus particulièrement, à tous ceux qui – comme cela s’est produit – disposent de documents ou d’informations présentant un intérêt particulier, une valeur ou essentiels pour la sécurité de la République, à savoir :
- 5. L’ordinateur portable de Frederico Pinheiro était en mode « autonome » : c’est-à-dire qu’il n’appartenait pas à la structure d’identité, d’authentification et de gestion à distance (Active Directory) du ministère, ce qui devrait être absolument interdit et viole toute bonne pratique de sécurité organisationnelle.
- 6. Frederico Pinheiro était l’administrateur local de l’équipement : Il existe plusieurs raisons pour lesquelles un utilisateur ne devrait pas être administrateur local sur un ordinateur :
Sécurité: En accordant des privilèges d’administrateur à un utilisateur, celui-ci aura un accès complet au système d’exploitation et pourra apporter des modifications critiques, telles que l’installation/suppression de logiciels, la modification des paramètres de sécurité et même la suppression de fichiers essentiels. Cela augmente le risque de compromission du système par des logiciels malveillants, des virus ou d’autres cybermenaces, notamment sur les équipements – comme dans ce cas – contenant des données sensibles pour les intérêts de la République.
Stabilité du système : Un utilisateur disposant de privilèges d’administrateur peut apporter par inadvertance des modifications affectant la stabilité du système ou d’autres applications. Cela peut entraîner des plantages, des blocages et des problèmes de performances.
Erreurs humaines : Même si un utilisateur est expérimenté, des erreurs peuvent survenir. Un mauvais clic ou une action erronée lorsque vous êtes administrateur peut avoir de graves conséquences, comme la suppression de fichiers importants ou la modification involontaire de paramètres critiques.
Politiques de sécurité : Dans les environnements organisationnels, il est courant d’appliquer des politiques de sécurité strictes pour protéger les informations confidentielles. En limitant les privilèges des utilisateurs, le ministère aurait pu réduire le risque de perte de données et assurer le respect des réglementations actuelles en matière de protection des informations.
En général, restreindre les privilèges d’administrateur pour les utilisateurs finaux des appareils est une bonne pratique pour maintenir la sécurité, la stabilité et l’intégrité du système d’exploitation et des données stockées. Les utilisateurs ne doivent disposer que des autorisations nécessaires pour effectuer leurs tâches quotidiennes, tandis que les privilèges d’administrateur doivent être réservés aux administrateurs du système informatique”, soulignent-ils.
- 7. Un ordinateur portable contenant des données sensibles, confidentielles et stratégiques pour la République n’avait pas le disque crypté : cette option est gratuite et disponible sur tous les appareils MacOS, Windows et Linux. Sous Windows, il s’agit de « BitLocker Device Encryption in Windows » et lorsqu’il est démarré, il permet l’enregistrement et la conservation en externe et dans un emplacement sûr des clés pour une éventuelle récupération future de l’accès en cas de besoin d’accès des autorités judiciaires ou de la hiérarchie de le ministère.”
- 8. L’ordinateur portable permettait la connexion de périphériques de stockage USB externes : qu’il utilisait à plusieurs reprises pour copier des fichiers importants qui se trouvaient sur l’équipement. Cette utilisation peut être bloquée par la stratégie de groupe si l’ordinateur est connecté à un Active Directory (ce n’était pas le cas) et il est également possible d’envoyer un email alertant l’utilisateur de cette tentative d’utilisation contraire aux procédures en vigueur.
- 9. L’ordinateur portable était en mode « autonome » : c’est-à-dire : il n’appartenait pas au domaine AD (?) du ministère et, par conséquent, ne pouvait pas recevoir un ensemble centralisé de politiques et de configurations : il aurait été possible d’empêcher l’équipement d’avoir des copies sur disque uniques (ainsi a dit le chef de cabinet) de certaines extensions (.pdf, .docx, .xlsx) nécessitant leur présence unique dans des partages réseau sous contrôle du Ministère.
- 10. L’ordinateur portable permettait l’existence de profils de cache et permettait donc la connexion sans établir au préalable un VPN au réseau de l’État : cela peut être forcé de manière centralisée via une stratégie de groupe Active Directory ou, si l’ordinateur n’est pas en AD, il est également possible de se déconnecter. ces connexions avec un changement de registre mais cela peut être annulé si l’utilisateur est un administrateur local comme cela semble être le cas avec Frederico Pinheiro.
- 11. L’ordinateur portable ne disposait pas de système AV ou MDM permettant l’arrêt/effacement ou le verrouillage à distance en cas de perte de contrôle ni la géolocalisation de l’équipement en cas de perte ou de vol (…)
- 12. Des documents confidentiels ont été imprimés : Il est possible d’empêcher l’impression de ce type de documents sensibles avec des politiques de sécurité appropriées et en utilisant, par exemple, les étiquettes de confidentialité Office 365 (Microsoft Purview).
Ils rappellent donc qu’« en mai 2023, ces suggestions (et d’autres applicables aux téléphones portables de service) ont été envoyées à tous les conseils municipaux du pays, à tous les groupes parlementaires et à tous les ministères du Gouvernement de la République ».
Et “en relation avec ce vol d’ordinateurs contenant des données sensibles et, probablement, des identifiants d’accès à des systèmes d’accès très réservés”, disent-ils, “nous avons renvoyé ces recommandations et lancé la pétition ‘Pétition pour la réduction des risques de sécurité dans les équipements informatiques’. .Etat : Propositions de cybersécurité pour les ministères et organismes sensibles de l’Etat, qui a été remise le 30 août aux services de l’Assemblée de la République :
Pétition pour réduire les risques de sécurité dans les équipements de l’État : propositions de cybersécurité pour les ministères et organismes sensibles de l’État
“Pour réduire les risques de sécurité résultant du vol d’ordinateurs et de téléphones portables utilisés par les ministères et les unités de l’État ayant des activités sensibles, l’Initiative CpC : Citoyens pour la cybersécurité propose la publication d’une ordonnance normative qui établit des lignes directrices obligatoires pour tous les organes subordonnés. Les mesures suggérées sont :
- 1. Implémentation du MDM (Mobile Device Management) sur les téléphones portables de l’État : Utilisation de solutions telles que Microsoft Intune pour gérer les appareils, définir des politiques de restriction des applications (ex : empêcher l’installation de WhatsApp sur les appareils iOS).
- 2. Systèmes de sauvegarde sur les téléphones portables de l’État : des outils tels que Microsoft Intune peuvent effectuer un « effacement à distance » et garantir des sauvegardes pour protéger les données.
- 3. Interdiction des communications sensibles via les réseaux sociaux externes** : Empêcher l’installation d’applications contrôlées par des puissances étrangères (par exemple WhatsApp) via MDM.
- 4. Procédure formelle de résiliation pour les utilisateurs qui quittent l’organisation : collecte immédiate des téléphones portables et des ordinateurs et refus d’accès centralisé.
- 5. Interdiction des ordinateurs en mode autonome : Tous les ordinateurs doivent être intégrés à la structure d’identité et de gestion à distance du Ministère (Active Directory).
- 6. Restriction des privilèges d’administrateur local aux utilisateurs : empêchez les utilisateurs d’effectuer des modifications critiques qui compromettent la sécurité et la stabilité des systèmes.
- 7. Chiffrement obligatoire des disques informatiques contenant des données sensibles : Mettre en œuvre des solutions telles que BitLocker pour garantir la sécurité des données, avec la conservation en toute sécurité des clés de récupération.
- 8. Bloquer la connexion des périphériques USB externes : restreindre l’utilisation des périphériques de stockage USB via des stratégies de groupe (stratégie de groupe) et alerter les utilisateurs en cas de tentatives d’utilisation abusive.
- 9. Interdiction de connexion sans connexion préalable au VPN : empêchez l’utilisation de profils de cache, en forçant la connexion avec un VPN actif via des stratégies de groupe ou des modifications du registre système.
- 10. Installation de systèmes antivirus et MDM avec capacités « d’arrêt à distance » et de géolocalisation : Utilisez des solutions telles que Panda Antivirus ou AirDroid Business pour permettre l’effacement, le blocage ou la géolocalisation à distance des appareils perdus ou volés.
- 11. Empêcher l’impression de documents confidentiels : utilisez des politiques de sécurité, telles que les étiquettes de confidentialité Office 365 (Microsoft Purview), pour empêcher l’impression de documents sensibles, en appliquant un cryptage et des filigranes dynamiques.
Et ils concluent que « ces mesures visent à accroître la cybersécurité et à protéger les données sensibles dans le cadre de l’administration publique portugaise ».