SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2016-2017 Zitting 2016-2017
________________
15 décembre 2016 15 december 2016
________________
Question écrite n° 6-1185 Schriftelijke vraag nr. 6-1185

de Jean-Jacques De Gucht (Open Vld)

van Jean-Jacques De Gucht (Open Vld)

au ministre des Classes moyennes, des Indépendants, des PME, de l'Agriculture, et de l'Intégration sociale

aan de minister van Middenstand, Zelfstandigen, KMO's, Landbouw en Maatschappelijke Integratie
________________
Sites internet des pouvoirs publics - Sécurité des communications - Fuites - Amélioration de la sécurité - Mesures Overheidswebsites - Veilige communicatie - Lekken - Verbetering van de veiligheid - Maatregelen 
________________
Internet
criminalité informatique
protection des données
Pays-Bas
ministère
administration publique
site internet
internet
computercriminaliteit
gegevensbescherming
Nederland
ministerie
overheidsadministratie
internetsite
________ ________
15/12/2016Verzending vraag
(Einde van de antwoordtermijn: 19/1/2017)
18/1/2017Antwoord
15/12/2016Verzending vraag
(Einde van de antwoordtermijn: 19/1/2017)
18/1/2017Antwoord
________ ________
Aussi posée à : question écrite 6-1176
Aussi posée à : question écrite 6-1177
Aussi posée à : question écrite 6-1178
Aussi posée à : question écrite 6-1179
Aussi posée à : question écrite 6-1180
Aussi posée à : question écrite 6-1181
Aussi posée à : question écrite 6-1182
Aussi posée à : question écrite 6-1183
Aussi posée à : question écrite 6-1184
Aussi posée à : question écrite 6-1186
Aussi posée à : question écrite 6-1187
Aussi posée à : question écrite 6-1188
Aussi posée à : question écrite 6-1189
Aussi posée à : question écrite 6-1190
Aussi posée à : question écrite 6-1191
Aussi posée à : question écrite 6-1192
Aussi posée à : question écrite 6-1193
Aussi posée à : question écrite 6-1176
Aussi posée à : question écrite 6-1177
Aussi posée à : question écrite 6-1178
Aussi posée à : question écrite 6-1179
Aussi posée à : question écrite 6-1180
Aussi posée à : question écrite 6-1181
Aussi posée à : question écrite 6-1182
Aussi posée à : question écrite 6-1183
Aussi posée à : question écrite 6-1184
Aussi posée à : question écrite 6-1186
Aussi posée à : question écrite 6-1187
Aussi posée à : question écrite 6-1188
Aussi posée à : question écrite 6-1189
Aussi posée à : question écrite 6-1190
Aussi posée à : question écrite 6-1191
Aussi posée à : question écrite 6-1192
Aussi posée à : question écrite 6-1193
________ ________
Question n° 6-1185 du 15 décembre 2016 : (Question posée en néerlandais) Vraag nr. 6-1185 d.d. 15 december 2016 : (Vraag gesteld in het Nederlands)

Les connexions vers de nombreux sites internet des pouvoirs publics néerlandais ne sont pas bien sécurisées. C'est ce qui ressort de l'étude réalisée par l'Open State Foundation, une organisation non lucrative qui « veut augmenter la transparence en politique ». On peut reconnaître une connexion sécurisée au petit cadenas qui apparaît dans le moteur de recherche.

L'organisation a examiné 1.816 sites internet des pouvoirs publics ; seuls 44 % d'entre eux ont des connexions sécurisées. 6 % ont effectivement une connexion sécurisée mais ne l'ont pas bien configurée, ce qui laisse la porte ouverte à des piratages.

La connexion vers le site internet de la Rijksrecherche n'est pas sécurisée. Cette section de la police néerlandaise mène des enquêtes sur les manquements commis par des fonctionnaires publics, notamment des collaborateurs de police. Jusqu'à la fin du mois de novembre 2016, quiconque dénonçait un manquement sur le site de la Rijksrecherche courait toutefois le risque que son message soit lu par d'autres personnes. Cela pouvait par exemple se faire par des bornes wifi publiques, comme dans le train, dans un hôtel ou dans un restaurant : la connexion était alors facile à intercepter.

Après que le site d'information néerlandais NOS a signalé la chose, le formulaire de dénonciation a été enlevé du site. Un porte-parole a fait savoir qu'il n'était temporairement plus possible de signaler des abus. Les citoyens qui ont des informations à communiquer peuvent encore téléphoner. On examine si des mesures de suivi sont nécessaires.

Même la page d'accueil du site internet de l'administration fiscale n'a pas de connexion sécurisée. L'accès au site de l'administration fiscale est bien sécurisé mais comme la page d'accueil ne l'est pas, un hacker peut forcer une connexion non sécurisée. Cela peut par exemple se faire en créant une fausse borne wifi dans une gare ou un autre endroit très fréquenté.

Ironie de la situation : la connexion du site officiel qui est censé promouvoir une administration consciente des dangers d'internet, n'est pas bien sécurisée.

L'étude concernait les pages d'accueil des sites internet publics ; il est possible que certaines parties des sites soient mieux sécurisées. Les experts en sécurité informatique conseillent toutefois de prévoir une connexion sécurisée pour l'ensemble du site internet. On peut reconnaître les sites non sécurisés à l'absence de cadenas dans le moteur de recherche.

De même, certains sites internet d'ambassades néerlandaises dans des pays où les droits fondamentaux de l'homme sont violés, ne sont pas sécurisés avec une connexion https en bon état de marche.

Une étude menée antérieurement sur les sites des pouvoirs publics dans notre pays a révélé des défauts similaires. Fedict, le service public fédéral Technologie de l'Information et de la Communication, a réagi en indiquant qu'il allait exécuter plus rapidement les mesures prévues pour améliorer le cryptage SSL.

Quant au caractère transversal de la question : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité pour la période 2016-2019 et ont fait l'objet d'un débat lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. La criminalité informatique est l'une des grandes priorités établies. Cette question concerne dès lors une compétence régionale transversale, les Régions intervenant surtout dans le volet préventif.

C'est pourquoi je souhaite vous poser les questions suivantes :

1) N'y a-t-il aucun risque de sécurité pour les sites internet des services publics fédéraux relevant de vos compétences ainsi que pour vos propres sites ? Pouvez-vous dresser la liste des sites dont vous avez la responsabilité ?

2) N'y a-t-il aucun risque, lorsque des utilisateurs se connectent via des bornes wifi, que l'on puisse lire les messages échangés avec des sites de services publics dont vous avez la responsabilité ? Pouvez-vous détailler votre réponse ?

3) Est-il vrai que parmi les sites internet des services publics qui utilisent effectivement une connexion https, il y en a encore un certain nombre qui sont configurés de telle sorte qu'ils présentent également un risque de sécurité ?

4) Pouvez-vous énumérer les sites officiels relevant spécifiquement de vos compétences en y incluant les sites des services publics fédéraux relevant de vos compétences et les sites des services extérieurs ?

5) Les mesures annoncées par le passé pour améliorer le cryptage SSL ont-elles effectivement été réalisées par Fedict sur tous les sites relevant de vos compétences ? Pouvez-vous fournir des explications concrètes à ce sujet ?

6) Pouvez-vous garantir qu'aucun des sites relevant de vos compétences ne travaille plus avec SSL-3 ? Le cas échéant, pouvez-vous expliquer votre réponse ?

7) Pouvez-vous énumérer concrètement les mesures qui ont déjà été prises depuis que l'étude réalisée sur les sites des services publics belges a mis en lumière certains défauts, en vue de sécuriser la connexion avec les sites internet des services publics ?

 

De verbindingen naar veel Nederlandse overheidswebsites zijn niet goed beveiligd. Dat blijkt uit onderzoek van de Open State Foundation, een non-profitorganisatie die « transparantie in de politiek wil vergroten ». Een beveiligde verbinding is te herkennen aan een slotje in de browser.

De organisatie onderzocht 1 816 overheidswebsites ; slechts 44 % daarvan ondersteunt beveiligde verbindingen. Nog eens 6 % heeft wel een beveiligde verbinding, maar heeft hem niet goed ingesteld, waardoor aanvallers alsnog een kans hebben.

Onder meer de verbinding naar de website van de Rijksrecherche is onbeveiligd. Die politie-organisatie doet onderzoek naar misdragingen door overheidsfunctionarissen, waaronder politiemedewerkers. Wie een misstand melde op de site van de Rijksrecherche, liep tot woensdagavond echter het risico dat anderen meelazen. Dat kon bijvoorbeeld bij openbare wifi-hotspots, zoals in de trein, in een hotel of restaurant : de verbinding was dan eenvoudig te onderscheppen.

Na melding van de NOS is dat formulier verwijderd van de site. « Het is tijdelijk niet meer mogelijk om misstanden te melden », laat een woordvoerder weten. Burgers met tips kunnen nog wel bellen. Er wordt onderzocht of « vervolgmaatregelen » nodig zijn.

Ook de voorpagina van de website van de Belastingdienst heeft geen beveiligde verbinding. Het inloggen op de Belastingdienst-site is wel beveiligd, maar doordat de voorpagina dat niet is, kan een hacker een onveilige verbinding afdwingen. Dat kan bijvoorbeeld door een valse wifi-hotspot op te zetten op een station of een andere drukke plek.

Ironisch genoeg is ook de verbinding van de overheidssite die is bedoeld om een « internetbewuste overheid » te promoten niet goed beveiligd.

Het onderzoek betrof de voorpagina's van de overheidssites ; het is mogelijk dat bepaalde onderdelen van de websites beter zijn beveiligd. Beveiligingsexperts raden echter aan om sowieso de volledige website van een veilige verbinding te voorzien. De onbeveiligde sites zijn te herkennen aan het ontbreken van een slotje in de browser.

Ook zijn er een aantal websites van Nederlandse ambassades in landen waar bassale mensenrechten worden geschonden die niet beveiligd zijn met een goed functionerende https-verbinding.

Eerder onderzoek naar de overheidssites in ons land toonde gelijkaardige zwakheden aan. In een reactie stelde Fedict, de federale overheidsdienst Informatie- en Communicatietechnologie, dat het reeds geplande maatregelen om de SSL-encryptie te verbeteren nu versneld zal uitvoeren.

Wat betreft transversaal karakter van de vraag : de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2016–2019, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Eén van de vastgelegde prioriteiten is de informaticacriminaliteit. Het betreft aldus een transversale gewestaangelegenheid waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Daarom heb ik volgende vragen voor u :

1) Zijn er geen veiligheidsrisico's voor de websites van de federale overheidsdiensten waarvoor u bevoegd bent, alsook uw eigen sites ? Kunt u de sites waarvoor u instaat oplijsten ?

2) Is er geen risico dat, bij het inloggen van gebruikers via wifi-hotspots, dat de communicatie met de overheidssites waarvoor u instaat kan worden ingelezen ? Kan u dit toelichten ?

3) Is het waar dat van de overheidswebsites die wel een https-verbinding gebruiken er ook nog een aantal websites zijn die zodanig zijn ingesteld dat er ook daar een beveiligingsrisico bestaat ?

4) Kunt u oplijsten voor welke overheidssites u specifiek bevoegd bent en dit inclusief de sites van de federale overheidsdiensten waarvoor u bevoegd bent en de sites van de buitendiensten ?

5) Werden de eerder aangekondigde maatregelen om de SSL-encryptie te verbeteren daadwerkelijk doorgevoerd door Fedict op alle sites waarvoor u bevoegd bent ? Kunt u dit concreet toelichten ?

6) Kunt u garanderen dat geen enkele site waarvoor u bevoegd bent nog werkt met SSL-3 ? Kunt u dit desgevallend toelichten ?

7) Kunt u concreet oplijsten welke maatregelen reeds zijn genomen sinds het onderzoek naar de Belgische overheidssites enkele zwakheden oplijstte om aldus een veilige verbinding met overheidswebsites tot stand te brengen ?

 
Réponse reçue le 18 janvier 2017 : Antwoord ontvangen op 18 januari 2017 :

I. Agence fédérale pour la sécurité de la chaîne alimentaire (AFSCA) – Centre d’étude et de recherches vétérinaires et agrochimiques (CERVA)

A) AFSCA

Le contexte de la question permet de comprendre que la définition de « risque pour la sécurité » se concentre, dans la présente question parlementaire, sur « la sécurisation des échanges de données depuis et vers des sites web ». Il sera par conséquent répondu aux questions dans ce contexte.

1) L'AFSCA, pense que la sécurisation des échanges de données depuis et vers des sites web est suffisamment garantie.

L'AFSCA gère directement quatre dataflows accessibles via Internet :

À chaque fois un en « HTTP » et un en « HTTPS » pour :

favv-afsca.be ;

foodweb.be.

HTTP est uniquement employé pour les sites web avec des données accessibles au public. HTTPS est imposé pour les flows devant être sécurisés pour des données non publiques.

Vous trouverez ci-dessous une liste des URL :

Domaines / URL pour lesquels HTTPS doit être utilisé :

Domaines / URL pour lesquels HTTP peut être utilisé :

Pour *.favv-afsca.be, il s'agit de (remplacer * par le nom) :

Pour *.foodweb.be, il s'agit de (remplacer * par le nom) :

Tous les autres

 

esp-connect

login

extranet

afscafin

becert

boodsan

boxi

cdmomail

dsbrd

b2b-teste

eid

foodnet

foodweb

pwm

intracdmo

intralab

intranet

kraken

narval

stor2

operator

foodteste

protime

pswdmgmt

b2b-edu

vetmail

vibe

foodteste

bi4

intracontrol

b2cpub

scicom

jira

stats

finfood-edu

finfood-teste

owa

webmail

autodiscover

 

www

afscafin

becert   

eid

operator

finfood

 

De plus, les domaines Sanitel et afscafin sont respectivement hébergés par les firmes externes HPE et Smals. Leur sécurisation est sous-traitée sous la responsabilité du fournisseur selon le cahier des charges.

2) Le risque que la communication avec des sites de l'administration publique puisse être chargé lors de l'utilisation de hotspots n'est ni supérieur ni inférieur au risque lors de l'utilisation d'une propre connexion.

En effet, pour les sites web sensibles sur lesquels une session est ouverte, les échanges sont cryptés (HTTPS / gestion certificat) et il y a une politique des mots de passe. Pour les échanges vers des sites web via HTTP, des données pourraient être lues via le hotspot mais il s'agit ici aussi uniquement d'informations accessibles au public.

3) D'un point de vue technique, il reste un risque de sécurité potentiel par exemple par l'utilisation d'iframes HTTPS sur des pages HTTP. Cela permet l'injection d'iframe et de cette manière, un malware pourrait fonctionner ou des mots de passe pourraient être interceptés.

De telles techniques ne sont toutefois pas utilisées à l'AFSCA. L’Agence n'a pas non plus connaissance de telles techniques sur des sites d'autres organismes publics.

4) Étant donné que la configuration se fait déjà de manière centrale à l'AFSCA, cette liste est la même que celle de la réponse 1).

5) Fedict n'a pas dû entreprendre d'action pour les sites de l’Agence. L'AFSCA a elle-même implémenté cela en utilisant des certificats de QuoVadis.

Pour les sites hébergés à l'extérieur, l’AFSCA peut confirmer que :

HPE a implémenté cela pour l'environnement de test de Sanitel et l'implémente en ce moment pour l'environnement de production de Sanitel ;

la Smals l'a implémenté pour l'environnement Afscafin.

6) Ce protocole est encore uniquement utilisé pour le site de production de Sanitel (hébergé par HPE), comme indiqué dans la réponse à la question précédente.

7) Aucune mesure spécifique n'a été prise suite à l'étude en question.

Un certain nombre d'améliorations déjà prévues par l'AFSCA ont toutefois entre-temps été apportées :

renouvellement du Corporate Firewall avec plus de performance pour garder IPS (prévention d'intrusion) actif sans impact perceptible sur les flows utiles ;

sécurité accrue en déconnectant d'anciens protocoles / d'anciennes suites cryptographiques dans l'Internet Access Street de l'AFSCA.

B) CERVA

1) À partir du moment où un site web « public » est publié sur Internet, il existe des risques. Les seuls mesures qui peuvent être prises sont :

utiliser une connexion HTTPS via TL.S protocol ;

respecter les règles de base de sécurité et protéger les données sensibles via login, mot de passe, encryption, etc.(si ceux-ci doivent être disponible via Internet).

http://www.CODA-CERVA.be (HTTP et non pas HTTPS).

2) Il existe toujours des risques en offrant des accès de connexion via wifi-hotspot. À nouveau, les règles de base de la sécurité du réseau doivent être respectées par les administrateurs (sécurité au niveau des folders, fichiers et documents, etc.) et une protection contre les malwares (virus, Trojan, etc.) est nécessaire.

3) HTTPS avec utilisation des nouveaux protocoles (TLS 1.2) pour communiquer entre deux parties est certainement un très bonne solution ! Mais ce n’est pas tout, tout autre aspect dans le domaine de sécurité doit également être analysé / cartographié (par exemple : « Administrator password » doit respecter des conditions de sécurité très strictes, etc.).

Site du CERVA n’a actuellement pas de connexion HTTPS.

Il n’y a pas d’informations confidentielles qui sont sauvegardées sur le site web mais en ce qui concerne Extranet ce serait mieux (résultats analyses clients). Par ailleurs, il existe un processus login et mot de passe pour avoir accès à Extranet.

4) http://www.coda-cerva.be.

http://neonet.coda-cerva.be/Neonet/Login.aspx.

5) Pas de connections SSL.

6) Pas de connections SSL.

7) Le CERVA est actuellement en train de fusionner avec l’ISP (création SCIENSANO).

Dans ce cadre, le CERVA a déjà investi dans des « reverse proxies avec load balancing » pour être certain de pouvoir soutenir les derniers protocoles avec la possibilité d’actualisation (updates) des serveurs « production » durant les heures de travail.

II. Service public fédéral (SPF) Économie – DG Politique des petites et moyennes entreprises (PME)

En ce qui concerne le SPF Économie, PME, Classes moyennes et Énergie, je renvoie l’honorable membre vers la réponse apportée par mon collègue, le ministre de l’Économie, à la question écrite n° 6-1177.

III. Statut social des travailleurs indépendants

A) Institut national d’assurances sociales pour travailleurs indépendants (INASTI)

1) L'INASTI est responsable pour le site général de l'INASTI (www.rsvz.be / www.inasti.be / www.lisvs.be / www.nisse.be) et le site de la Caisse nationale auxiliaire (www.nationale-hulpkas.be / www.caisse-nationale-auxiliaire.be / www.nationale-hilfskasse.be / www.national-fund.be).

Ces sites ne font pas usage de SSL et ne contiennent que des informations publiques et librement accessibles concernant le statut social des travailleurs indépendants.

2) Sans objet. Voir réponse à la question 1).

3) Sans objet. Voir réponse à la question 1).

4) Voir réponse à la question 1).

5) Sans objet. Voir réponse à la question 1).

6) Sans objet. Voir réponse à la question 1).

7) Sans objet. Voir réponse à la question 1).

B) SPF Sécurité sociale – DG Indépendants

Je ne dispose pas des données demandées pour la DG Indépendants du SPF Sécurité sociale. En effet, je ne suis compétent que sur le plan de la matière.

Pour toutes les autres questions (personnel, logistique, budget, ICT, etc.) relatives au SPF Sécurité sociale, et donc aussi pour la DG Indépendants, c’est la ministre des Affaires Sociales qui est compétente.

IV. Service public de programmation (SPP) Intégration sociale

1) Mon administration, le SPP Intégration sociale, gère actuellement un seul site web, dans le domaine mi-is.be, à l’adresse www.mi-is.be.

Depuis plusieurs années, et certainement dans sa dernière version actuellement en ligne, ce site est protégé par une connexion encryptée de type HTTPS.

Plus précisément, cette connexion sécurisée utilise un algorithme d’encryptage SHA-2 (sha256) d’un très haut degré de sécurité (abandon de SHA-1 cette année).

Par ailleurs, le site web du SPP Intégration sociale est hébergé sur une plateforme technologique gérée par FEDICT et les sous-traitants qu’il désigne, tant pour l’infrastructure technologique que pour la maintenance applicative.

Fast2web est la solution Fedict pour la création de sites web basés sur Drupal. Ceci comprend d’une part l’hébergement, le support aux rédacteurs et la plate-forme et d’autre part, des fonctionnalités CMS, Search et statistiques.

Le site du SPP Intégration sociale bénéficie donc de toutes les mesures de sécurité contre les intrusions ou les attaques DOS prises par les services fédéraux pour protéger la plateforme Fast2web et répond aux critères avancés de sécurité défendus par FEDICT.

2) Profiter d’un wifi non protégé (type hotspot) pour capter une communication entre un utilisateur et le site web est impossible en raison de l’encryptage de la connexion HTTPS (voir ci-dessus).

Par ailleurs, les possibilités d’envoi d’informations d’un utilisateur vers le site web du SPP Intégration sociale sont actuellement très limitées, aucune donnée à caractère personnelle n’étant échangée par ce moyen.

3) La connexion HTTPS du site du SPP Intégration sociale repose sur un encryptage de classe SHA-2 (voir ci-dessus) qui offre actuellement le plus haut degré de sécurité pour le type de transaction utilisé sur son site.

4) Le SPP Intégration sociale n’a pour le moment la gestion que d’un seul site : www.mi-is.be.

5) Le site du SPP Intégration sociale étant hébergé par FEDICT sur sa plateforme que partagent d’autres sites fédéraux dans le cadre de Fast2web (voir ci-dessus), la gestion de la sécurité des sites hébergés sur cette plateforme fait l’objet d’adaptations continues par les sous-traitants désignés par le SPF.

6) La connexion au site www.mi-is.be n’utilise pas le protocole SSL 3 mais bien un protocole supérieur (TLS 1.2).

7) FEDICT qui est l’hébergeur et fournisseur de services Internet du SPP Intégration sociale a renforcé et renforce de manière continue la sécurité de la connexion au site web du SPP Intégration sociale. Récemment encore par exemple, des adaptations ont été réalisées pour améliorer la sécurité du réseau FEDMAN et de tous les systèmes qui l’utilisent, contre notamment les attaques DOS (Denial Of Service) qui en 2016 ont bloqués les sites fédéraux pendant quelques heures.

V. Régulation ferroviaire

Le site web du service de Régulation est un site statique qui ne prévoit pas de possibilité de « login » par des tiers.

L’unique connexion comme administrateur est sécurisé par un nom d’usager et un mot de passe. Aucune autre mesure de sécurisation n’est prévue.

En ce qui concerne le Service de sécurité et d'interopérabilité des chemins de fer (SSICF) et l'Organisme d’enquête, ils ne disposent pas de site propre et sont par conséquent hébergés sur le site du SPF Mobilité & Transport. Je vous renvoie pour ces deux organismes vers la réponse du ministre de la Mobilité à la question écrite n° 6-1189.

I. Federaal Agentschap voor de veiligheid van de voedselketen (FAVV) – Centrum voor onderzoek in diergeneeskunde en agrochemie (CODA)

A) FAVV

Uit de context van de vraag begrijpt het FAVV dat de definitie van « veiligheidsrisico’s » in deze parlementaire vraag zich focust op « de beveiliging van de dataverkeer van en naar websites ». De vragen zullen bijgevolg in deze context worden beantwoord.

1) Het FAVV is van mening dat de beveiliging van het dataverkeer van en naar websites voldoende gegarandeerd is.

Het FAVV beheert rechtstreeks vier dataflows bereikbaar via het Internet :

Een in « HTTP » en een in HTTPS, elk naar :

– favv-afsca.be ;

– foodweb.be.

HTTP wordt enkel ingezet voor websites met data die publiek toegankelijk mogen zijn. HTTPS wordt opgelegd voor flows die beveiligd moeten worden voor niet publieke gegevens.

Vervolgens een lijst van de URL’s :

Domain / URL’s waarvoor HTTPS moet worden gebruikt :

Domain / URL’s waarvoor HTTP kan worden gebruikt :

Voor *.favv-afsca.be zijn dat (vervang * door naam) :

Voor *.foodweb.be zijn dat (vervang * door naam) :

Al de andere


esp-connect

login

extranet

afscafin

becert

boodsan

boxi

cdmomail

dsbrd

b2b-teste

eid

foodnet

foodweb

pwm

intracdmo

intralab

intranet

kraken

narval

stor2

operator

foodteste

protime

pswdmgmt

b2b-edu

vetmail

vibe

foodteste

bi4

intracontrol

b2cpub

scicom

jira

stats

finfood-edu

finfood-teste

owa

webmail

autodiscover


www

afscafin

becert   

eid

operator

finfood


Bijkomend worden ook het domein Sanitel en het domein afscafin respectievelijk gehost door de externe firma’s HPE en Smals. De beveiliging hiervan is uitbesteed onder de verantwoordelijkheid van de leverancier volgens lastenboek.

2) Het risico dat de communicatie met overheidssites bij het gebruik van hotspots kan worden ingelezen is niet groter of kleiner dan het risico bij gebruik van een eigen verbinding.

Voor gevoelige websites waarop ingelogd wordt, is het verkeer immers versleuteld (HTTPS / certificaatbeheer) en is er een wachtwoordbeleid. Voor verkeer naar websites via HTTP zou via de hotspot wel data kunnen worden ingelezen, maar het betreft hier dan ook slechts publiekelijk toegankelijke informatie.

3) Technisch blijft er een mogelijk beveiligingsrisico door bijvoorbeeld gebruik te maken van HTTPS iframes op HTTP pagina’s. Dit laat iframe injection toe en op die manier zou malware kunnen werken of zouden wachtwoorden kunnen worden onderschept.

Bij het FAVV worden dergelijke technieken echter niet gebruikt. Wij hebben ook geen weet van dergelijke technieken op sites bij andere overheidsinstellingen.

4) Gezien bij het FAVV al de configuratie centraal gebeurt, is deze lijst dezelfde als die uit antwoord 1).

5) Voor de sites van het FAVV heeft Fedict geen actie hoeven te ondernemen. Het FAVV heeft dit zelf geïmplementeerd met gebruikmaking van de certificaten van QuoVadis.

Voor de extern gehoste sites kan het FAVV bevestigen dat :

– HPE dit heeft geïmplementeerd voor de testomgeving van Sanitel en het aan het implementeren is voor de Sanitel productieomgeving ;

– Smals dit heeft geïmplementeerd voor de omgeving Afscafin.

6) Enkel voor de productiesite van Sanitel (gehost door HPE) is dit protocol nog in gebruik zoals ook aangegeven in het antwoord op vorige vraag.

7) Er werden geen specifieke maatregelen genomen als gevolg van de betreffende studie.

Een aantal verbeteringen die door het FAVV reeds gepland waren, werden echter intussen ingevoerd :

– vernieuwing Corporate Firewall met meer performantie om IPS (intrusion prevention) actief te houden zonder merkbare impact op de nuttige flows ;

– verhoogde veiligheid door in FAVV Internet Access Street oude protocollen / cipher suites uit te schakelen.

B) CODA

1) Vanaf het moment dat een « Public » website op het Internet wordt gepubliceerd, zijn er risico’s. De enige maatregelen die kunnen worden genomen zijn :

– HTTPS-verbinding gebruiken met TL.S protocol ;

– basisregels van de veiligheid respecteren en de gevoelige data beschermen via login, wachtwoord, versleuteling, enz. (indien deze via het Internet bereikbaar moeten zijn).

http://www.CODA-CERVA.be (HTTP en niet HTTPS).

2) Er zijn altijd risico’s bij het aanbieden van een verbindingstoegang via wifi-hotspot. Nogmaals, de basisregels van de netwerkveiligheid moeten door administrators gerespecteerd worden (beveiliging op het niveau van mappen, bestanden en documenten) en ook beschermingen tegen malwares (virus, Trojan, enz.) is nodig.

3) HTTPS met het gebruik van nieuwe protocols (TLS 1.2) om te communiceren tussen twee partijen is zeker een zeer goede oplossing ! Dat is niet alles, alle andere aspecten in verband met beveiliging moeten ook in kaart gebracht worden (bijvoorbeeld : « Administrator password » moet sterke beveiligingsvoorwaarden volgen, enz.).

Site van het CODA heeft geen HTTPS verbinding vandaag.

Er is geen vertrouwelijke informatie op de webserver van het CODA opgeslagen maar wat Extranet betreft, zou het beter zijn (resultaten van de analyses van de klanten). Er bestaat toch een login en wachtwoordproces om toegang tot Extranet te krijgen !

4) http://www.coda-cerva.be.

http://neonet.coda-cerva.be/Neonet/Login.aspx.

5) Geen SSL verbindingen.

6) Geen SSL verbindingen.

7) Het CODA is nu bezig met de fusie van het CODA met het WIV (oprichting SCIENSANO).

In dit kader heeft het CODA al geïnvesteerd in « reverse proxies met load balancing » om zeker te zijn dat het CODA de laatste protocolversies kan ondersteunen met mogelijkheid van updates van servers in productie gedurende tijdens de werkuren.

II. Federale overheidsdienst (FOD) Economie – Kleine en Middelgrote Ondernemingen (KMO)-beleid

Wat betreft de FOD Economie, KMO, Middenstand en Energie verwijs ik het geachte lid naar het antwoord van mijn collega, de minister van Economie, op de schriftelijke vraag nr. 6-1177.

III. Sociaal statuut der zelfstandigen

A) Rijksinstituut voor de sociale verzekeringen der zelfstandigen (RSVZ)

1) Het RSVZ is verantwoordelijk voor de algemene website van het RSVZ (www.rsvz.be / www.inasti.be / www.lisvs.be / www.nisse.be) en de website van de Nationale Hulpkas (www.nationale-hulpkas.be / www.caisse-nationale-auxiliaire.be / www.nationale-hilfskasse.be / www.national-fund.be ).

Deze websites maken geen gebruik van SSL en bevatten enkel publieke en vrij toegankelijke informatie over het sociaal statuut der zelfstandigen.

2) Zonder voorwerp. Zie antwoord op vraag 1).

3) Zonder voorwerp. Zie antwoord op vraag 1).

4) Zie antwoord op vraag 1).

5) Zonder voorwerp. Zie antwoord op vraag 1).

6) Zonder voorwerp. Zie antwoord op vraag 1).

7) Zonder voorwerp. Zie antwoord op vraag 1).

B) FOD Sociale Zekerheid – DG Zelfstandigen

Aangezien ik enkel inhoudelijk bevoegd ben voor de DG Zelfstandigen van de FOD Sociale Zekerheid, beschik ik niet over de gevraagde gegevens. Voor alle andere onderwerpen (personeel, logistiek, budget, ICT, enz.) met betrekking tot de FOD Sociale Zekerheid, en dus ook tot de DG Zelfstandigen, is het de minister van Sociale Zaken die bevoegd is.

IV. Programmatorische overheidsdienst (POD) Maatschappelijke Integratie

1) Mijn administratie, de POD Maatschappelijke Integratie, beheert momenteel slechts één website, in het domein mi-is.be, op het adres www.mi-is.be.

Deze website wordt al meerdere jaren, en vooral in de laatste versie die momenteel online is, beschermd door een versleutelde verbinding van het type HTTPS.

Deze beveiligde verbinding maakt meer bepaald gebruik van een versleutelingsalgoritme SHA-2 (sha256) met een zeer hoog veiligheidsniveau (SHA-1 werd dit jaar afgevoerd).

Bovendien wordt de website van de POD Maatschappelijke Integratie gehost op een technologisch platform dat beheerd wordt door FEDICT en de onderaannemers die hij aanduidt, zowel voor de technologische infrastructuur als voor het onderhoud van de applicatie :

Fast2web is de oplossing van Fedict voor de creatie van op Drupal gebaseerde websites. Dit omvat enerzijds de hosting, de ondersteuning van de redacteurs en het platform, en anderzijds de CMS-, Search- en statistische functies.

De website van de POD Maatschappelijke Integratie geniet dus van alle beveiligingsmaatregelen genomen door de federale diensten tegen indringing of DOS-aanvallen om het platform Fast2web te beschermen, en beantwoordt aan de geavanceerde veiligheidscriteria verdedigd door FEDICT.

2) Profiteren van een niet-beveiligde wifi (van het type hotspot) om een communicatie te onderscheppen tussen een gebruiker en de website is onmogelijk door de versleuteling van de HTTPS-verbinding (zie boven).

Bovendien zijn de mogelijkheden voor het verzenden van informatie naar de website van de POD Maatschappelijke Integratie momenteel zeer beperkt. Er worden geen persoonsgegevens uitgewisseld via dit middel.

3) De HTTPS-verbinding van de website van de POD Maatschappelijke Integratie steunt op een versleuteling van klasse SHA-2 (zie boven) die momenteel het hoogste veiligheidsniveau biedt voor het type van transactie dat op de website wordt gebruikt.

4) De POD Maatschappelijke Integratie beheert momenteel slechts één website : www.mi-is.be.

5) Omdat de website van de POD Maatschappelijke Integratie gehost wordt door FEDICT op zijn platform dat gedeeld wordt met andere federale websites in het kader van Fast2web (zie boven), maakt het beheer van de veiligheid van de websites gehost op dit platform, het voorwerp uit van voortdurende wijzigingen door de onderaannemers aangeduid door de FOD.

6) De verbinding met de website www.mi-is.be maakt geen gebruik van het SSL3-protocol, maar van het betere TLS 1.2- protocol.

7) FEDICT, de host en Internetprovider van de POD Maatschappelijke Integratie, heeft de veiligheid van de verbinding met de website van de POD Maatschappelijke Integratie versterkt en blijft die voortdurend versterken. Recent nog werden er wijzigingen doorgevoerd ter verbetering van de veiligheid van het FEDMAN-netwerk en van alle systemen die daar gebruik van maken, met name tegen DOS-aanvallen (Denial Of Service) die de federale websites in 2016 gedurende enkele uren hebben geblokkeerd.

V. Spoor Regulering

De website van de dienst Regulering is een statische website die geen login-mogelijkheid voorziet voor derden.

De enige login als administrator is beveiligd met een gebruikersnaam en paswoord. Er werd geen enkele andere beveiligingsmaatregel voorzien.

De DVIS en het Onderzoeksorgaan beschikken niet over een eigen website en worden bijgevolg gehost op de website van de FOD Mobiliteit & Vervoer. Voor deze twee organen verwijs ik u naar het antwoord van de minister van Mobiliteit op schriftelijke vraag nr. 6-1189.