Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 5-10466

de Karl Vanlouwe (N-VA) du 26 novembre 2013

au vice-premier ministre et ministre des Affaires étrangères, du Commerce extérieur et des Affaires européennes

la cyberattaque de 2011

piratage informatique
criminalité informatique
ministère
Chine
espionnage
espionnage industriel

Chronologie

26/11/2013Envoi question
14/1/2014Réponse

Requalification de : demande d'explications 5-4018

Question n° 5-10466 du 26 novembre 2013 : (Question posée en néerlandais)

Une série de révélations de cyberattaques dirigées contre des institutions publiques belges n'a pas épargné votre service public fédéral. Le 19 septembre, les rumeurs d'intrusion dans les systèmes informatiques du SPF Affaires étrangères ont été confirmées par les porte-parole du parquet et du SPF Affaires étrangères.

Les seuls éléments pouvant être révélés font état d'un cas d'espionnage international faisant appel à de la technologie de pointe. Vous-même avez déclaré que les faits avaient été constatés début 2012 mais avaient débuté en 2011. Vous ajoutiez que certaines pistes peuvent mener jusqu'à la Chine et plus précisément jusqu'à des entreprises de Hong Kong.

Je fais référence à ma question écrite d'avril 2012 (n° 5-6135) relative au cyberespionnage chinois en Europe. Lors du sommet entre l'UE et la Chine, il a été décidé de créer une Cyber Task Force pour analyser les cas de cyberespionnage originaires de Chine.

Je renvoie également à la réponse que vous avez apportée à ma question écrite de mars 2012 (n° 5-4302) relative à la cyberprotection au SPF Affaire étrangères.

Mes questions sont les suivantes.

1) Combien de temps s'est-il écoulé avant que le cyberespionnage soit découvert et qu'une plainte soit déposée au parquet fédéral ?

2) A-t-on fait appel à l'expertise d'autres SPF, d'un autre État membre de l'UE ou de l'OTAN pour étudier la nature du logiciel malveillant avant de déposer plainte au parquet ?

3) Pouvez-vous expliquer comment l'entreprise ou les entreprises qui ont été chargées du nettoyage et de l'analyse du réseau informatique du SPF Affaires étrangères ont été sélectionnées ?

4) Pourquoi êtes-vous convaincu, au moment présent, avant même que l'enquête judiciaire ne soit terminée, que l'origine de la cyberattaque se situe en Chine ?

5) Pourquoi pouvez-vous dire avec une forte probabilité qu'une entreprise ou quelques entreprises chinoises sont les commanditaires du cyberespionnage ? Quelle est la possibilité qu'il s'agisse d'espionnage politique mais prenant la forme d'espionnage commercial pour mettre l'autorité chinoise concernée à l'abri des soupçons ?

6) Quelles démarches votre département entreprendra-t-il s'il se confirme que la cyberattaque a bien été menée au départ du territoire chinois ? Le gouvernement a-t-il déjà demandé des explications au gouvernement chinois ? Quelles mesures faudrait-il prendre au niveau supranational (UE, OTAN, etc.) pour signaler cet incident ?

7) Qu'en est-il de la Cyber Task Force UE-Chine qui devrait traiter ce type de cas de cyberespionnage ? Combien de fois s'est-elle déjà réunie ? Pourquoi ? Croyez-vous à l'utilité de cette Task Force ?

8) Le logiciel malveillant responsable a-t-il été découvert sur d'autres réseaux en Belgique ? S'agit-il du même logiciel malveillant que celui qui a été découvert sur le réseau de la Défense belge à la fin de l'année dernière ?

9) Quelles mesures votre département a-t-il prises à la suite de cet incident de sécurité ? Qui en assure le suivi et leur effet est-il régulièrement contrôlé par d'autres SPF, SPP, entreprises externes ou États membres amis ?

10) Quels sont les résultats de l'instruction ouverte par le parquet fédéral ?

Réponse reçue le 14 janvier 2014 :

  1. Le parquet a été mis au courant dès le moment où les AE ont remarqué des faits suspects. Quelques mois plus tard, les AE ont formellement déposé une plainte.

  2. L'expertise de la Défense et du CERT a été engagée dès que les faits suspects ont été notés.

  3. Les consultants de la société de sécurité belge qui a été impliquée dans la détection des premiers cas suspects, ont continué à participer dans nos enquêtes. Suivant les conseils du CERT et compte tenu de l'information disponible sur le réseau, on a en priorité coopéré avec la Défense.

  4. Il existe des instructions dans ce sens , mais nous attendons les résultats de l'enquête avant d’arriver à une conclusion définitive.

  5. Nous attendons les résultats de l'enquête judiciaire.

  6. La forme que prendra notre réaction dépendra des résultats de l’enquête. Si la responsabilité d’un État tiers dans ces faits devait être établie, je pense en effet qu’il serait normal et approprié de faire part de notre réprobation par une demande d’explication ou une note de protestation. A côté de cette réaction diplomatique, il est évident que les informations recueillies seront partagées avec nos Alliés afin de renforcer notre capacité commune à résister à ces intrusions.

  7. Cette taskforce n’est pas connue par la direction d’encadrement ICT.

  8. On ne peut pas s’exprimer sur le fait que des copies des logiciels malveillants aient été trouvés sur d'autres réseaux. Ceci est à déterminer par les gestionnaires de ces réseaux.

  9. Une série de mesures a été prise pour réduire le risque. Enumérer ces mesures ici, pourrait donner de l'inspiration aux « hackers ».

  10. L’enquête est toujours en cours sans conclusion préliminaire.