Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 6-1187

de Jean-Jacques De Gucht (Open Vld) du 15 décembre 2016

au ministre de la Défense, chargé de la Fonction publique

Sites internet des pouvoirs publics - Sécurité des communications - Fuites - Amélioration de la sécurité - Mesures

Internet
criminalité informatique
protection des données
Pays-Bas
ministère
administration publique
site internet

Chronologie

15/12/2016 Envoi question (Fin du délai de réponse: 19/1/2017 )
19/1/2017 Réponse

Aussi posée à : question écrite 6-1176
Aussi posée à : question écrite 6-1177
Aussi posée à : question écrite 6-1178
Aussi posée à : question écrite 6-1179
Aussi posée à : question écrite 6-1180
Aussi posée à : question écrite 6-1181
Aussi posée à : question écrite 6-1182
Aussi posée à : question écrite 6-1183
Aussi posée à : question écrite 6-1184
Aussi posée à : question écrite 6-1185
Aussi posée à : question écrite 6-1186
Aussi posée à : question écrite 6-1188
Aussi posée à : question écrite 6-1189
Aussi posée à : question écrite 6-1190
Aussi posée à : question écrite 6-1191
Aussi posée à : question écrite 6-1192
Aussi posée à : question écrite 6-1193

Question n° 6-1187 du 15 décembre 2016 : (Question posée en néerlandais)

Les connexions vers de nombreux sites internet des pouvoirs publics néerlandais ne sont pas bien sécurisées. C'est ce qui ressort de l'étude réalisée par l'Open State Foundation, une organisation non lucrative qui « veut augmenter la transparence en politique ». On peut reconnaître une connexion sécurisée au petit cadenas qui apparaît dans le moteur de recherche.

L'organisation a examiné 1.816 sites internet des pouvoirs publics ; seuls 44 % d'entre eux ont des connexions sécurisées. 6 % ont effectivement une connexion sécurisée mais ne l'ont pas bien configurée, ce qui laisse la porte ouverte à des piratages.

La connexion vers le site internet de la Rijksrecherche n'est pas sécurisée. Cette section de la police néerlandaise mène des enquêtes sur les manquements commis par des fonctionnaires publics, notamment des collaborateurs de police. Jusqu'à la fin du mois de novembre 2016, quiconque dénonçait un manquement sur le site de la Rijksrecherche courait toutefois le risque que son message soit lu par d'autres personnes. Cela pouvait par exemple se faire par des bornes wifi publiques, comme dans le train, dans un hôtel ou dans un restaurant : la connexion était alors facile à intercepter.

Après que le site d'information néerlandais NOS a signalé la chose, le formulaire de dénonciation a été enlevé du site. Un porte-parole a fait savoir qu'il n'était temporairement plus possible de signaler des abus. Les citoyens qui ont des informations à communiquer peuvent encore téléphoner. On examine si des mesures de suivi sont nécessaires.

Même la page d'accueil du site internet de l'administration fiscale n'a pas de connexion sécurisée. L'accès au site de l'administration fiscale est bien sécurisé mais comme la page d'accueil ne l'est pas, un hacker peut forcer une connexion non sécurisée. Cela peut par exemple se faire en créant une fausse borne wifi dans une gare ou un autre endroit très fréquenté.

Ironie de la situation : la connexion du site officiel qui est censé promouvoir une administration consciente des dangers d'internet, n'est pas bien sécurisée.

L'étude concernait les pages d'accueil des sites internet publics ; il est possible que certaines parties des sites soient mieux sécurisées. Les experts en sécurité informatique conseillent toutefois de prévoir une connexion sécurisée pour l'ensemble du site internet. On peut reconnaître les sites non sécurisés à l'absence de cadenas dans le moteur de recherche.

De même, certains sites internet d'ambassades néerlandaises dans des pays où les droits fondamentaux de l'homme sont violés, ne sont pas sécurisés avec une connexion https en bon état de marche.

Une étude menée antérieurement sur les sites des pouvoirs publics dans notre pays a révélé des défauts similaires. Fedict, le service public fédéral Technologie de l'Information et de la Communication, a réagi en indiquant qu'il allait exécuter plus rapidement les mesures prévues pour améliorer le cryptage SSL.

Quant au caractère transversal de la question : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité pour la période 2016-2019 et ont fait l'objet d'un débat lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. La criminalité informatique est l'une des grandes priorités établies. Cette question concerne dès lors une compétence régionale transversale, les Régions intervenant surtout dans le volet préventif.

C'est pourquoi je souhaite vous poser les questions suivantes :

1) N'y a-t-il aucun risque de sécurité pour les sites internet des services publics fédéraux relevant de vos compétences ainsi que pour vos propres sites ? Pouvez-vous dresser la liste des sites dont vous avez la responsabilité ?

2) N'y a-t-il aucun risque, lorsque des utilisateurs se connectent via des bornes wifi, que l'on puisse lire les messages échangés avec des sites de services publics dont vous avez la responsabilité ? Pouvez-vous détailler votre réponse ?

3) Est-il vrai que parmi les sites internet des services publics qui utilisent effectivement une connexion https, il y en a encore un certain nombre qui sont configurés de telle sorte qu'ils présentent également un risque de sécurité ?

4) Pouvez-vous énumérer les sites officiels relevant spécifiquement de vos compétences en y incluant les sites des services publics fédéraux relevant de vos compétences et les sites des services extérieurs ?

5) Les mesures annoncées par le passé pour améliorer le cryptage SSL ont-elles effectivement été réalisées par Fedict sur tous les sites relevant de vos compétences ? Pouvez-vous fournir des explications concrètes à ce sujet ?

6) Pouvez-vous garantir qu'aucun des sites relevant de vos compétences ne travaille plus avec SSL-3 ? Le cas échéant, pouvez-vous expliquer votre réponse ?

7) Pouvez-vous énumérer concrètement les mesures qui ont déjà été prises depuis que l'étude réalisée sur les sites des services publics belges a mis en lumière certains défauts, en vue de sécuriser la connexion avec les sites internet des services publics ?

Réponse reçue le 19 janvier 2017 :

L’honorable membre est prié de trouver, ci-après, la réponse à ses questions.

En ce qui concerne la Défense :

1-2-4. Au sein de la Défense, il faut faire la distinction entre 2 types de sites web qui peuvent être consultés :

• Le site public de la Défense

Cela concerne le site web www.mil.be. Ce site se trouve en dehors du réseau de la Défense et est protégé par des mesures de protection réseau qui sont d’application auprès du provider externe (Proximus) où le site est hébergé. Ce site contient uniquement de l’information publique de la Défense qui peut être consultée librement par les internautes via une connexion non sécurisée. La connexion d’internautes via wifi-hotspots ne comporte en principe aucun risque.

• Les sites non-publics de la Défense

Ces sites se trouvent dans des zones spécifiquement protégées du réseau de la Défense et ne sont accessibles via l’internet que par des personnes autorisées par la Défense via une liaison sécurisée. Diverses mesures de protection sont prises pour limiter les risques liés à la sécurité de ces sites. Pour des raisons de sécurité, il n’est pas opportun de mentionner les mesures de sécurités spécifiques.

3. Les connexions https vers les sites gouvernementaux peuvent être basées sur le protocole SSL sujet à vulnérabilités ou sur le protocole plus sécurisé TLS. En plus, les sites gouvernementaux peuvent, au niveau applicatif, encore être sujets à des attaques d’applications web suite aux vulnérabilités qui sont présentes dans l’application web elle-même. La Défense prend les mesures de protection nécessaires afin de limiter les risques de sécurité. Pour des raisons de sécurité, il n’est pas opportun de mentionner ces mesures de sécurités spécifiques.

5 - 6. Pour ses sites non-publics accessibles de l’internet par des personnes autorisées par la Défense, la Défense fait usage de certificats pour serveurs web délivrés par FedICT.

7. Les mesures suivantes ont été prises :

• Pour établir une connexion, les sites de la Défense qui exigent une connexion sécurisée font usage d’un protocole adapté et plus sécurisé.

• Les sites non-publics de la Défense sont uniquement accessibles aux personnes autorisées par la Défense. Cela implique que l’utilisateur doit d’abord s’authentifier avant qu’il ne puisse avoir accès au site.

• Les sites non-publics de la Défense sont protégés au niveau applicatif de façon complémentaire par un Web Application Firewall spécifique.

• Pour d’autres mesures prises par la Défense dans le domaine de la sécurité informatique et plus spécifiquement la cyber défense, permettez-moi de référer à la réponse qui a été formulée à la Chambre à la question n° 535 du 7 janvier 2016.

En ce qui concerne l’Institut géographique national (IGN) :

1. Les sites ngi.be et ign.be utilisent une technologie obsolète qui ne répond plus aux normes de sécurité. Un projet pour un site entièrement renouvelé qui répond à ces normes est en cours d’exécution.

Geo.be est en phase de développement mais n’est pas encore en ligne. Il répondra aux normes de sécurité quand il sera en ligne.

Cartesius.be répond aux normes de sécurité.

2. Il existe un risque avec le site ngi.be/ign.be. Toutefois, les informations transmises au site via internet sont limitées. Un client peut envoyer ses données de contact à l’IGN via un formulaire web. Ces données de contact sont : Prénom, Nom, E-mail, Téléphone, Rue, Numéro, Code postal, Commune et Pays du client.

Il n’y a pas de risque avec les sites www.geo.be et www.cartesius.be.

Le site ngi.be/ign.be a été développé avec une technologie obsolète, qui pourrait éventuellement permettre l’interception de communications avec ce site.

3. Aucun problème n’a été constaté à ce jour sur les sites gérés par l’IGN.

4. www.ngi.be

www.ign.be

www.geo.be (en phase de développement)

www.cartesius.be.

5. Non.

Le nouveau site ngi.be/ign.be sera doté d’un cryptage SSL performant.

6. Aucun site géré par l’IGN n’utilise SSL-3.

Le site actuel ngi.be/ign.be n’a pas de cryptage SSL. Étant donné le peu d’informations transmises par internet (voir la question 2), il a été estimé que cela n’était pas nécessaire. L’IGN préfère utiliser ses ressources limitées pour la construction du nouveau site web, plutôt que pour l’adaptation de l’ancien site web qui est condamné à disparaître à court terme.

7. L’IGN est en train de construire un tout nouveau site qui tiendra compte, entre autres, des risques de sécurité.

En ce qui concerne l’Office Central d’Action Sociale et Culturelle (OCASC) :

1. Site : portal.ocasc.be :

Ces précautions vont au-delà des recommandations et des Best Practices.

Site : ocasc-cdsca.be : hébergé au FedICT.

2. Non.

L’authentification sur portal.ocasc.be se fait via SmartCard et uniquement à partir d’appareils gérés par l’institution.

3. Pas en ce qui concerne les sites de l’OCASC.

4. Portal.ocasc.be et ocasc-cdsca.be.

5. Le FedICT gère le site client ocasc-cdsca.be. Il a été demandé que ce site ne soit accessible qu’en https. Ils ont un Certificat émis par QuoVadis.

6. Portal.ocasc.be utilise un wildcard Certificate émit par GlobalSign.

7. Le site portal.ocasc.be n’est accessible que depuis l’enquête sur les sites fédéraux publics. Des leçons ont étés tirées.

En ce qui concerne le Musée Royal de l’Armée et d’Histoire militaire (MRA) :

1. Le site du Musée royal de L’armée et d’Histoire militaire (MRA) (www.klm-mra.be) est un site “statique” hébergé chez un hébergeur américain (Maven Hosting). Il n’y a aucune liaison permanente entre le site et les réseaux de la Défense ou des institutions fédérales. Le risque évoqué par l’honorable membre est, en l’espèce, nul.

2. Pas d’application (voir point 1).

3. Pas d’application.

4. Voir point 1 : www.klm-mra.be qui est le seul site du MRA.

5. Pas d’application.

6. La réponse est positive.

7. Pas d’application.

En ce qui concerne l’Institut des Vétérans – Institut national des Invalides de Guerre (IV-INIG) :

1. Le risque est limité aux seuls sites https://appsoc.warveterans.be, https://owncloud.warveterans.be et https://webmail.warveterans.be qui permettent aux agents de l’Institut de se connecter via une authentification à une application qui leur est réservée.

Liste des sites :

2. Il n’existe pas à la connaissance de l’Institut, de risques que la communication avec les sites publics de l’Institut soit lue. Les seuls sites de l’Institut contenant des données confidentielles transmises sont protégés par une connexion HTTPS TLS.

3. Le risque zéro n’existe pas. Néanmoins l’Institut a pris toutes les mesures nécessaires pour avoir une connexion sécurisée sur les sites qui transmettent des données confidentielles en utilisant le meilleur protocole sécurité en HTTPS possible (TLS) et une demande d’authentification.

4. Voir liste sous 1.

5. Les seuls sites de l’Institut qui sont hébergés par le FedICT http://wardeadregister.be et http://www.traindes1000.be/fr ne transmettent pas de données confidentielles.

6. Tous les sites de l’Institut qui transmettent des données confidentielles sont en TLS, l’Institut n’a jamais utilisé SSL-3 car il a été déclaré obsolète depuis fin 2014 et n’est plus supporté par les navigateurs récents.

7. Tous les sites de l’Institut qui transmettent des données confidentielles sont en HTTPS TLS et nécessitent une connexion authentifiée avant la transmission de données. Il n’y a pas de liens entre les sites publics de l’Institut et les sites en HTTPS de l’Institut.

En ce qui concerne la fonction publique:

1. et 4.

Le SPF P&O est conscient que le risque zéro n’existe pas mais nous essayons de réduire au maximum les risques pour la sécurité. Concrètement, nous nous chargeons des sites suivants.

2.

Rien que par leur nature, les hotspots wi-fi sont vulnérables. La technologie SSL est utilisée par les applications web pour sécuriser internet, y compris les inscriptions en ligne, l'envoi d'informations personnelles, etc. Cette information reste confidentielle pendant la transmission et n’est pas accessible par une tierce partie.

3.

N’autoriser l’accès que via une connexion https n’est qu’une partie des diverses sécurités. Le service ICT entreprend les tâches nécessaires pour maintenir à niveau l’infrastructure IT, compte tenu de l’évolution du hardware et du software, afin d’être protégés contre les attaques externes.

5.

https://ecampus.ofoifa.be

La plateforme est actuellement hostée par un prestataire de services externe qui assume la responsabilité de ses obligations en matière de gestion de la sécurité, lesquelles ont été fixées dans le marché public qui lui a été attribué. Pour le cryptage, nous n’utilisons plus le protocole SSL mais le protocole TLS.

6.

Aucun site web ne supporte SSL3. Pour tous les sites web https, on utilise des certificats numériques qui sont délivrés par une autorité de certification internationalement reconnue.

7.

Modification des certificats : cryptage plus long, version SSL.

Limitation de l’accès à certains sites et si possible l’installation d’un firewall local.