Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 5-9947

de Karl Vanlouwe (N-VA) du 27 septembre 2013

au premier ministre

Belgacom - Filiale BICS - Découverte d'un logiciel d'écoute

Proximus
criminalité informatique
protection des données
États-Unis
espionnage
protection des communications

Chronologie

27/9/2013Envoi question
30/10/2013Réponse

Question n° 5-9947 du 27 septembre 2013 : (Question posée en néerlandais)

Il est apparu le 16 septembre que Belgacom a été victime d'une cyberattaque durant laquelle certaines communications ont été écoutées pendant au moins deux ans. Selon la presse, le logiciel malveillant a été découvert dans les systèmes de communication de Belgacom International Carrier Services (BICS). Belgacom International Carrier Services est une filiale de Belgacom dans laquelle elle a une part de 57 % mais qui possède, selon d'autres sources, un réseau bien intégré avec Belgacom. Selon Belgacom, il n'y a eu aucun impact sur les routeurs ni sur les communtateurs réseau, alors que la presse a révélé que les assaillants contrôlaient totalement cette infrastructure critique du réseau. Cette hypothèse a aussi été confirmée par des slides publiés dans Der Spiegel qui provenaient d'Edward Snowden, le lanceur d'alerte de la NSA.

BICS est un leader mondial dans la maintenance des communications internationales entre les opérateurs internationaux de télécommunication. Les hackers voulaient en premier lieu suivre les activités de BICS entre autres au Yémen, en Somalie et en Iran. Selon Der Spiegel, cette opération a été menée en 2010 par une cellule de la NSA qui a aussi dirigé toute une série d'autres attaques et infiltrations importantes. Il est aussi apparu que l'intention était de pouvoir continuer à suivre les appels téléphoniques mobiles des personnes ciblées lorsque celles-ci voyageaient.

Les articles contradictoires, les fuites ainsi que la publication de différents slides dans Der Spiegel qui évoquent cette opération m'obligent quand même à poser quelques questions pertinentes sur ces révélations.

Mes questions au premier ministre sont les suivantes.

1. Peut-il confirmer que cette attaque a commencé en 2010, comme cela est indiqué dans les slides de la NSA ? Peut-il confirmer qu'il s'agit d'un cas de cyberespionnage ayant uniquement occasionné l'observation de certaines données et que le réseau n'a été ni piraté ni saboté ?

2. Peut-il confirmer que, tel que révélé dans la presse, les premières indications de problèmes sur le réseau de Belgacom sont apparues en 2012 et que le virus a seulement été identifié comme responsable le 20 juin 2013 ? Peut-il expliquer pourquoi un délai aussi long s'est écoulé entre les premiers problèmes et la découverte du virus ?

3. Peut-il préciser quand la direction a été informée d'éventuels problèmes en 2012 et de la découverte du virus en 2013 ? Quand le responsable de la sécurité et le responsable de la gestion des risques ont-ils été informés ? Quel accès le responsable de la sécurité et le responsable de la gestion des risques ont-ils au management, et quels changements organisationnels seront-ils mis en œuvre dans ce domaine ?

4. Peut-il expliquer comment on a sélectionné l'entreprise ou les entreprises qui doivent procéder à un « nettoyage » et à une analyse ?

5. L'impact sur le cours de bourse de Belgacom est heureusement resté limité. Belgacom a-t-elle fait une communication spécifique - secrète ou non - aux principaux actionnaires ? Comment les principaux actionnaires, partenaires et clients de Belgacom ont-ils réagi, et quelles garanties Belgacom a-t-elle dû offrir ?

6. Quelle est la participation de l'autorité fédérale dans la société BICS, et qui représente l'autorité fédérale au sein de cette société ? Qui sont les autres actionnaires, et comment réagissent-ils à ces révélations ?

7. Le premier ministre peut-il expliquer comment Belgacom, qui a elle-même une entreprise de sécurité, qui est elle-même associée à de très nombreux produits de sécurité spécifiques de haut niveau et qui fait une très large publicité en matière de sécurité soit entièrement contrôlée de cette manière, à savoir que, selon la presse, les pirates ont pu utiliser quasi tous les mots de passe administratifs ?

8. Belgacom est aussi propriétaire de Telindus qui règle les communications téléphoniques pour le public et le privé tant à l'intérieur du pays qu'à l'étranger. A-t-on aussi recherché d'éventuels logiciels malveillants chez Telindus ? Le réseau de Telindus est-il aussi relié au réseau en question de BICS ?

9. Le premier ministre envisage-t-il d'imposer à Belgacom des conditions de sécurité plus sévères et un test de sécurité externe étant donné l'intérêt stratégique de l'entreprise ? L'IBPT ne doit-il pas étendre ces mesures à toutes les entreprises belges de télécommunication qui ont un impact critique ou des clients importants ?

10. Le premier ministre peut-il nous faire savoir où en est l'enquête menée par la Commission de la protection de la vie privée ? Peut-il expliquer pourquoi Belgacom déclare qu'il n'y a pas eu d'impact sur les données des clients quand la presse indique que les assaillants ont eu accès aux routeurs, commutateurs de réseau et ordinateurs des gestionnaires du réseau ? Belgacom est-elle certaine qu'aucun Belge ne faisait partie des groupes cibles de cette opération ?

11. Quelle est l'opinion du premier ministre s'il est confirmé que l'opération a réellement eu lieu à partir d'une base d'espionnage située sur le territoire britannique, laquelle est en grande partie payée et équipée par les autorités américaines et cible en première instance le continent européen ? Le gouvernement a-t-il demandé des explications aux gouvernements britannique et américain ? Quelles étapes doivent-elles être entreprises, selon le premier ministre, au niveau supranational (UE, OTAN, ...) pour aborder ce grave incident ?

12. Belgacom a déclaré que l'IBPT communiquerait les détails techniques de cette attaque aux autres réseaux belges. Le jour suivant, la FCCU a déclaré qu'elle s'en chargerait. Où en est cette communication, et dans quelle mesure répond-elle aux besoins concrets des responsables de la sécurité de ces réseaux ?

13. Jusqu'il y a peu, le logiciel malveillant avait été détecté sur les ordinateurs Windows de Belgacom uniquement par un nombre limité de logiciels antivirus. Microsoft lui-même n'a publié aucune information sur ces logiciels malveillants et, selon certains, ces informations sont mêmes classées comme secret militaire. Le premier ministre peut-il garantir que les autres firmes de sécurité sont ou ont aussi été informées des caractéristiques de ces logiciels malveillants afin qu'elles puissent aussi les détecter automatiquement ?

14. Ce virus a-t-il déjà été détecté sur d'autres réseaux en Belgique ? S'agissait-il du même logiciel malveillant que celui qui a été détecté fin de l'année dernière sur le réseau des militaires belges ?

15. Où en est la création du centre pour la cybersécurité ? Quand les fonds nécessaires seront-ils dégagés ?

16. La plateforme de concertation BELNIS s'est-elle déjà réunie concernant ces diverses révélations ? BELNIS s'est-elle déjà réunie depuis les « cyberfuites » de la semaine du 16 septembre afin de discuter des stratégies à adopter ?

17. Votre département a-t-il insisté pour que l'on scanne les systèmes informatiques internes de l'ensemble des services publics en vue de détecter la présence de logiciels malveillants ? Cela a-t-il déjà été fait depuis les récentes révélations ? Comment cette opération se déroule-t-elle, et qui la coordonne ?

18. Le premier ministre envisage-t-il d'organiser une réunion - éventuellement à huis clos - pour le parlement afin de nous informer correctement sur l'enquête et les conséquences des résultats ?

Réponse reçue le 30 octobre 2013 :

1. à 10. et 13. Les questions sont transmises au ministre des Entreprises publiques comme rentrant dans ses attributions.

12. La question est transmise au inistre de l'Économie compétent pour l’IBPT, comme rentrant dans ses attributions.

14. La question est transmise au ministre de la Défense nationale comme rentrant dans ses attributions.

15. Pour le surplus, le gouvernement fédéral a accéléré la mise en œuvre de sa stratégie de cyber-sécurité et a décidé d’y investir dix millions d’euros en 2014.

Mes services examinent actuellement comment juridiquement et opérationnellement constituer au mieux un centre de cyber-sécurité.

Il sera placé directement sous mon autorité et hébergé à Bruxelles.

Je soumettrai dans les prochaines semaines une proposition de répartition des moyens visés plus haut à mes collègues du gouvernement. J’attends pour ce faire également une série d’informations techniques des services partenaires.

Les moyens budgétaires serviront donc d’une part à la création du Centre de Cyber-sécurité belge et d’autres part à renforcer en personnel des services compétents en cette matière.

Je souhaite que très rapidement l’appel à candidature soit opéré en vue de recruter le futur patron(ne) de ce centre, ainsi que son personnel.

Mon objectif est de rendre le centre opérationnel dès janvier prochain.

16. La question est transmise au Secrétaire d'État à la Fonction publique et à la Modernisation des Services publics comme rentrant dans ses attributions.

17. Comme je l’ai fait au sein de mon département, j’ai invité mes collègues du Gouvernement fédéral à opérer, si cela n’avait pas encore été réalisé, les contrôles de sécurité ad hoc au sein de leurs réseaux et infrastructures informatiques.

Chaque Service public fédéral (SPF) est actuellement garant de sa propre sécurité et de la manière dont il opérera.

18. Je prends bonne note de votre proposition d’organiser une séance d’information à huis clos pour le Parlement.

Actuellement, je ne suis pas en possession des conclusions de l’enquête du Parquet fédéral.