SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2013-2014 Zitting 2013-2014
________________
26 novembre 2013 26 november 2013
________________
Question écrite n° 5-10466 Schriftelijke vraag nr. 5-10466

de Karl Vanlouwe (N-VA)
van Karl Vanlouwe (N-VA)

au vice-premier ministre et ministre des Affaires étrangères, du Commerce extérieur et des Affaires européennes
aan de vice-eersteminister en minister van Buitenlandse Zaken, Buitenlandse Handel en Europese Zaken
________________
la cyberattaque de 2011 de cyberaanval van 2011 
________________
piratage informatique
criminalité informatique
ministère
Chine
espionnage
espionnage industriel
computerpiraterij
computercriminaliteit
ministerie
China
spionage
industriële spionage
________ ________
26/11/2013Verzending vraag
14/1/2014Antwoord
26/11/2013Verzending vraag
14/1/2014Antwoord
________ ________
Herkwalificatie van : vraag om uitleg 5-4018 Herkwalificatie van : vraag om uitleg 5-4018
________ ________
Question n° 5-10466 du 26 novembre 2013 : (Question posée en néerlandais) Vraag nr. 5-10466 d.d. 26 november 2013 : (Vraag gesteld in het Nederlands)

Une série de révélations de cyberattaques dirigées contre des institutions publiques belges n'a pas épargné votre service public fédéral. Le 19 septembre, les rumeurs d'intrusion dans les systèmes informatiques du SPF Affaires étrangères ont été confirmées par les porte-parole du parquet et du SPF Affaires étrangères.

Les seuls éléments pouvant être révélés font état d'un cas d'espionnage international faisant appel à de la technologie de pointe. Vous-même avez déclaré que les faits avaient été constatés début 2012 mais avaient débuté en 2011. Vous ajoutiez que certaines pistes peuvent mener jusqu'à la Chine et plus précisément jusqu'à des entreprises de Hong Kong.

Je fais référence à ma question écrite d'avril 2012 (n° 5-6135) relative au cyberespionnage chinois en Europe. Lors du sommet entre l'UE et la Chine, il a été décidé de créer une Cyber Task Force pour analyser les cas de cyberespionnage originaires de Chine.

Je renvoie également à la réponse que vous avez apportée à ma question écrite de mars 2012 (n° 5-4302) relative à la cyberprotection au SPF Affaire étrangères.

Mes questions sont les suivantes.

1) Combien de temps s'est-il écoulé avant que le cyberespionnage soit découvert et qu'une plainte soit déposée au parquet fédéral ?

2) A-t-on fait appel à l'expertise d'autres SPF, d'un autre État membre de l'UE ou de l'OTAN pour étudier la nature du logiciel malveillant avant de déposer plainte au parquet ?

3) Pouvez-vous expliquer comment l'entreprise ou les entreprises qui ont été chargées du nettoyage et de l'analyse du réseau informatique du SPF Affaires étrangères ont été sélectionnées ?

4) Pourquoi êtes-vous convaincu, au moment présent, avant même que l'enquête judiciaire ne soit terminée, que l'origine de la cyberattaque se situe en Chine ?

5) Pourquoi pouvez-vous dire avec une forte probabilité qu'une entreprise ou quelques entreprises chinoises sont les commanditaires du cyberespionnage ? Quelle est la possibilité qu'il s'agisse d'espionnage politique mais prenant la forme d'espionnage commercial pour mettre l'autorité chinoise concernée à l'abri des soupçons ?

6) Quelles démarches votre département entreprendra-t-il s'il se confirme que la cyberattaque a bien été menée au départ du territoire chinois ? Le gouvernement a-t-il déjà demandé des explications au gouvernement chinois ? Quelles mesures faudrait-il prendre au niveau supranational (UE, OTAN, etc.) pour signaler cet incident ?

7) Qu'en est-il de la Cyber Task Force UE-Chine qui devrait traiter ce type de cas de cyberespionnage ? Combien de fois s'est-elle déjà réunie ? Pourquoi ? Croyez-vous à l'utilité de cette Task Force ?

8) Le logiciel malveillant responsable a-t-il été découvert sur d'autres réseaux en Belgique ? S'agit-il du même logiciel malveillant que celui qui a été découvert sur le réseau de la Défense belge à la fin de l'année dernière ?

9) Quelles mesures votre département a-t-il prises à la suite de cet incident de sécurité ? Qui en assure le suivi et leur effet est-il régulièrement contrôlé par d'autres SPF, SPP, entreprises externes ou États membres amis ?

10) Quels sont les résultats de l'instruction ouverte par le parquet fédéral ?

 

Bij een reeks onthullingen van cyberaanvallen op Belgische overheidsinstellingen werd ook uw federale overheidsdienst niet gespaard. Op 19 september werden de geruchten over een cyberintrusie in de computersystemen van de FOD Buitenlandse Zaken bevestigd door de woordvoerders van het parket en de FOD Buitenlandse Zaken.

De enige elementen die bekend kunnen gemaakt worden is dat het over een geval van hoogtechnologische internationale cyberspionage gaat. Uzelf meldde dat de feiten begin 2012 werden vastgesteld maar in 2011 begonnen waren. U voegde hieraan toe dat er sporen zijn die mogelijk leiden naar China, en meer bepaald naar bedrijven in Hong Kong.

Ik verwijs naar mijn schriftelijke vraag van april 2012 (5-6135) over Chinese cyberspionage in Europa. Op de top tussen de EU en China werd toen beslist een Cyber Task Force op te richten om gevallen van cyberspionage die van China afkomstig zijn te onderzoeken.

Ik verwijs eveneens naar uw antwoord op mijn schriftelijke vraag (5-4302) over cyberbeveiliging bij de FOD Buitenlandse Zaken van maart 2012.

Mijn vragen aan de minister zijn:

1) Hoe lang duurde het voordat de cyberspionage ontdekt werd en tot klacht werd neergelegd bij het federaal parket?

2) Werd de expertise van een andere FOD, een andere lidstaat van de EU of de NAVO ingeroepen om de aard van malware te onderzoeken vooraleer klacht neer te leggen bij het parket?

3) Kan U uitleggen hoe men het bedrijf of de bedrijven heeft geselecteerd die de opkuis en analyse moeten doen van het informaticanetwerk van de FOD Buitenlandse Zaken?

4) Waarom bent U overtuigd op dit moment, voor het onderzoek van het gerecht is afgelopen, dat de oorsprong van de cyberaanval in China gevonden kan worden?

5) Waarom kan U met hoge waarschijnlijkheid zeggen dat één of enkele bedrijven uit China de opdrachtgever van de cyberspionage is? Welke is de mogelijkheid dat het over politieke cyberspionage gaat maar vermomd als commerciële spionage om de betrokken Chinese overheid uit de wind wil zetten?

6) Welke stappen zal uw departement nemen indien bevestigd wordt dat de cyberaanval effectief van Chinees grondgebied afkomstig is? Heeft de regering om uitleg gevraagd aan de Chinese regering ? Welke stappen zouden moeten worden genomen op supranationaal niveau (EU, Navo, … ) om dit incident aan te kaarten?

7) Hoe staat het met de EU-China Cyber Task Force die zich net met deze soort van cyberspionagezaken zou bezighouden? Hoeveel keer is deze al samengekomen? Waarom niet? Gelooft U in het nut van deze Task Force?

8) Werd het betrokken stuk malware op andere netwerken in België ontdekt ? Was dit dezelfde malware als de malware die eind vorig jaar op het netwerk van de Belgische Defensie werd ontdekt ?

9) Welke maatregelen heeft uw departement genomen naar aanleiding van dit veiligheidsincident? Wie volgt deze op en worden deze regelmatig door andere FOD's, POD's of externe bedrijven of bevriende lidstaten getest op hun werking?

10) Wat zijn de resultaten van het strafrechtelijk onderzoek door het federaal parket?

 
Réponse reçue le 14 janvier 2014 : Antwoord ontvangen op 14 januari 2014 :

  1. Le parquet a été mis au courant dès le moment où les AE ont remarqué des faits suspects. Quelques mois plus tard, les AE ont formellement déposé une plainte.

  2. L'expertise de la Défense et du CERT a été engagée dès que les faits suspects ont été notés.

  3. Les consultants de la société de sécurité belge qui a été impliquée dans la détection des premiers cas suspects, ont continué à participer dans nos enquêtes. Suivant les conseils du CERT et compte tenu de l'information disponible sur le réseau, on a en priorité coopéré avec la Défense.

  4. Il existe des instructions dans ce sens , mais nous attendons les résultats de l'enquête avant d’arriver à une conclusion définitive.

  5. Nous attendons les résultats de l'enquête judiciaire.

  6. La forme que prendra notre réaction dépendra des résultats de l’enquête. Si la responsabilité d’un État tiers dans ces faits devait être établie, je pense en effet qu’il serait normal et approprié de faire part de notre réprobation par une demande d’explication ou une note de protestation. A côté de cette réaction diplomatique, il est évident que les informations recueillies seront partagées avec nos Alliés afin de renforcer notre capacité commune à résister à ces intrusions.

  7. Cette taskforce n’est pas connue par la direction d’encadrement ICT.

  8. On ne peut pas s’exprimer sur le fait que des copies des logiciels malveillants aient été trouvés sur d'autres réseaux. Ceci est à déterminer par les gestionnaires de ces réseaux.

  9. Une série de mesures a été prise pour réduire le risque. Enumérer ces mesures ici, pourrait donner de l'inspiration aux « hackers ».

  10. L’enquête est toujours en cours sans conclusion préliminaire.

  1. Het parket werd snel op de hoogte gebracht van bepaalde verdachte zaken die werden opgemerkt en formeel werd enkele maanden later klacht neergelegd

  2. De expertise van Detentie en de CERT werden ingeroepen vanaf de verdachte zaken werden opgemerkt.

  3. De consultanten van het Belgisch veiligheidsbedrijf dat mee betrokken was bij het opsporen van de eerste verdachte zaken was ook actief bij deze operatie. Op advies van de CERT, gezien het soort informatie aanwezig op het netwerk, werd verder vooral beroep gedaan op een overheidspartner, Defensie.

  4. Er zijn aanwijzingen in die richting, maar we willen de resultaten van het gerechtelijk onderzoek afwachten om een definitieve conclusie te trekken.

  5. We willen hiervoor de resultaten van het gerechtelijk onderzoek afwachten.

  6. De vorm die onze reactie zal aannemen zal afhangen van de resultaten van het onderzoek. Indien de verantwoordelijkheid van een derde Staat in deze feiten zou worden vastgesteld, denk ik inderdaad dat het normaal zou zijn om blijk te geven van onze veroordeling door middel van een vraag tot uitleg of een protestnota. Naast deze diplomatieke reactie is het evident dat de verkregen informatie gedeeld zal worden met onze bondgenoten om onze gezamenlijke verzetscapaciteit tegen deze indringing te versterken.

  7. Deze taskforce is niet gekend door de stafdirectie ICT.

  8. De vraag of exemplaren van dezelfde soorten malware op andere netwerken werden gevonden, zou men aan de beheerders van die netwerken moeten stellen.

  9. Een aanzienlijk aantal maatregelen werden en worden genomen. Hier details over geven zou toekomstige aanvallers kunnen helpen.

  10. Voor zover me bekend is dit onderzoek nog niet afgesloten en zijn er nog geen resultaten bekend.