SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2013-2014 Zitting 2013-2014
________________
5 février 2014 5 februari 2014
________________
Question écrite n° 5-11074 Schriftelijke vraag nr. 5-11074

de Karl Vanlouwe (N-VA)
van Karl Vanlouwe (N-VA)

au secrétaire d'Etat aux Affaires sociales, aux Familles et aux Personnes handicapées, chargé des Risques professionnels, et secrétaire dÉtat à la Politique scientifique, adjoint à la ministre des Affaires sociales et de la Santé publique
aan de staatssecretaris voor Sociale Zaken, Gezinnen en Personen met een handicap, belast met Beroepsrisico's, en staatssecretaris voor Wetenschapsbeleid, toegevoegd aan de minister van Sociale Zaken en Volksgezondheid
________________
Belgacom et les logiciels espions retrouvés chez sa filiale BICS Belgacom en de gevonden afluistersoftware bij de dochteronderneming BICS 
________________
Proximus
criminalité informatique
protection des communications
espionnage
virus informatique
Autorité de protection des données
 Proximus
computercriminaliteit
telefoon- en briefgeheim
spionage
computervirus
Gegevensbeschermingsautoriteit
________ ________
5/2/2014Verzending vraag
28/4/2014Einde zittingsperiode
5/2/2014Verzending vraag
28/4/2014Einde zittingsperiode
________ ________
Herkwalificatie van : vraag om uitleg 5-3995 Herkwalificatie van : vraag om uitleg 5-3995
________ ________
Question n° 5-11074 du 5 février 2014 : (Question posée en néerlandais) Vraag nr. 5-11074 d.d. 5 februari 2014 : (Vraag gesteld in het Nederlands)

Il est apparu le 16 septembre que Belgacom a été victime d'une cyberattaque durant laquelle certaines communications ont été écoutées pendant au moins deux ans. Selon la presse, le logiciel malveillant a été découvert dans les systèmes de communication de Belgacom International Carrier Services (BICS). Belgacom International Carrier Services est une filiale de Belgacom dans laquelle elle a une part de 57 % mais qui possède, selon d'autres sources, un réseau bien intégré avec Belgacom. Selon Belgacom, il n'y a eu aucun impact sur les routeurs ni sur les commutateurs réseau, alors que la presse a révélé que les assaillants contrôlaient totalement cette infrastructure critique du réseau. Cette hypothèse a aussi été confirmée par des slides publiés dans Der Spiegel qui provenaient d'Edward Snowden, le lanceur d'alerte de la NSA.

BICS est un leader mondial dans la maintenance des communications internationales entre les opérateurs internationaux de télécommunication. Les hackers voulaient en premier lieu suivre les activités de BICS entre autres au Yémen, en Somalie et en Iran. Selon Der Spiegel, cette opération a été menée en 2010 par une cellule de la NSA qui a aussi dirigé toute une série d'autres attaques et infiltrations importantes. Il est aussi apparu que l'intention était de pouvoir continuer à suivre les appels téléphoniques mobiles des personnes ciblées lorsque celles-ci voyageaient.

Les articles contradictoires, les fuites ainsi que la publication de différents slides dans Der Spiegel qui évoquent cette opération m'obligent quand même à poser quelques questions pertinentes sur ces révélations.

Mes questions au secrétaire d'État sont les suivantes.

1. Peut-il confirmer que cette attaque a commencé en 2010, comme cela est indiqué dans les slides de la NSA ? Peut-il confirmer qu'il s'agit d'un cas de cyberespionnage ayant uniquement occasionné l'observation de certaines données et que le réseau n'a été ni piraté ni saboté ?

2. Peut-il confirmer que, tel que révélé dans la presse, les premières indications de problèmes sur le réseau de Belgacom sont apparues en 2012 et que le virus a seulement été identifié comme responsable le 20 juin 2013 ? Peut-il expliquer pourquoi un délai aussi long s'est écoulé entre les premiers problèmes et la découverte du virus ?

3. Peut-il préciser quand la direction a été informée d'éventuels problèmes en 2012 et de la découverte du virus en 2013 ? Quand le responsable de la sécurité et le responsable de la gestion des risques ont-ils été informés ? Quel accès le responsable de la sécurité et le responsable de la gestion des risques ont-ils au management, et quels changements organisationnels seront-ils mis en œuvre dans ce domaine ?

4. Peut-il expliquer comment on a sélectionné l'entreprise ou les entreprises qui doivent procéder à un « nettoyage » et à une analyse ?

5. L'impact sur le cours de bourse de Belgacom est heureusement resté limité. Belgacom a-t-elle fait une communication spécifique - secrète ou non - aux principaux actionnaires ? Comment les principaux actionnaires, partenaires et clients de Belgacom ont-ils réagi, et quelles garanties Belgacom a-t-elle dû offrir ?

6. Quelle est la participation de l'autorité fédérale dans la société BICS, et qui représente l'autorité fédérale au sein de cette société ? Qui sont les autres actionnaires, et comment réagissent-ils à ces révélations ?

7. Le secrétaire d'État peut-il expliquer comment Belgacom, qui a elle-même une entreprise de sécurité, qui est elle-même associée à de très nombreux produits de sécurité spécifiques de haut niveau et qui fait une très large publicité en matière de sécurité soit entièrement contrôlée de cette manière, à savoir que, selon la presse, les pirates ont pu utiliser quasi tous les mots de passe administratifs ?

8. Belgacom est aussi propriétaire de Telindus qui règle les communications téléphoniques pour le public et le privé tant à l'intérieur du pays qu'à l'étranger. A-t-on aussi recherché d'éventuels logiciels malveillants chez Telindus ? Le réseau de Telindus est-il aussi relié au réseau en question de BICS ?

9. Le secrétaire d'État envisage-t-il d'imposer à Belgacom des conditions de sécurité plus sévères et un test de sécurité externe étant donné l'intérêt stratégique de l'entreprise ? L'IBPT ne doit-il pas étendre ces mesures à toutes les entreprises belges de télécommunication qui ont un impact critique ou des clients importants ?

10. Le secrétaire d'État peut-il nous faire savoir où en est l'enquête menée par la Commission de la protection de la vie privée ? Peut-il expliquer pourquoi Belgacom déclare qu'il n'y a pas eu d'impact sur les données des clients quand la presse indique que les assaillants ont eu accès aux routeurs, commutateurs de réseau et ordinateurs des gestionnaires du réseau ? Belgacom est-elle certaine qu'aucun Belge ne faisait partie des groupes cibles de cette opération ?

11. Quelle est l'opinion du secrétaire d'État s'il est confirmé que l'opération a réellement eu lieu à partir d'une base d'espionnage située sur le territoire britannique, laquelle est en grande partie payée et équipée par les autorités américaines et cible en première instance le continent européen ? Le gouvernement a-t-il demandé des explications aux gouvernements britannique et américain ? Quelles étapes doivent-elles être entreprises, selon le secrétaire d'État, au niveau supranational (UE, OTAN, ...) pour aborder ce grave incident ?

12. Belgacom a déclaré que l'IBPT communiquerait les détails techniques de cette attaque aux autres réseaux belges. Le jour suivant, la FCCU a déclaré qu'elle s'en chargerait. Où en est cette communication, et dans quelle mesure répond-elle aux besoins concrets des responsables de la sécurité de ces réseaux ?

13. Jusqu'il y a peu, le logiciel malveillant avait été détecté sur les ordinateurs Windows de Belgacom uniquement par un nombre limité de logiciels antivirus. Microsoft lui-même n'a publié aucune information sur ces logiciels malveillants et, selon certains, ces informations sont mêmes classées comme secret militaire. Le secrétaire d'État peut-il garantir que les autres firmes de sécurité sont ou ont aussi été informées des caractéristiques de ces logiciels malveillants afin qu'elles puissent aussi les détecter automatiquement ?

14. Ce virus a-t-il déjà été détecté sur d'autres réseaux en Belgique ? S'agissait-il du même logiciel malveillant que celui qui a été détecté fin de l'année dernière sur le réseau des militaires belges ?

15. Où en est la création du centre pour la cybersécurité ? Quand les fonds nécessaires seront-ils dégagés ?

16. La plateforme de concertation BELNIS s'est-elle déjà réunie concernant ces diverses révélations ? BELNIS s'est-elle déjà réunie depuis les « cyberfuites » de la semaine du 16 septembre afin de discuter des stratégies à adopter ?

17. Votre département a-t-il insisté pour que l'on scanne les systèmes informatiques internes de l'ensemble des services publics en vue de détecter la présence de logiciels malveillants ? Cela a-t-il déjà été fait depuis les récentes révélations ? Comment cette opération se déroule-t-elle, et qui la coordonne ?

18. Le secrétaire d'État envisage-t-il d'organiser une réunion - éventuellement à huis clos - pour le parlement afin de nous informer correctement sur l'enquête et les conséquences des résultats ?

 

Op 16 september kwam aan het licht dat Belgacom het slachtoffer is geweest van een cyberaanval waarbij gedurende minstens twee jaar bepaald communicatieverkeer werd afgeluisterd. De malware werd volgens de pers gevonden op "communicatiesystemen" van BICS. Belgacom International Carrier Services is een dochteronderneming van Belgacom. Belgacom heeft een aandeel van 57% in BICS en heeft er volgens andere bronnen een redelijk geïntegreerd netwerk mee.. Volgens Belgacom was er geen impact op de routers en de switchen, terwijl uit persartikels bleek dat de indringers de volledige controle hadden over deze kritische netwerkinfrastructuur. Dit vermoeden werd bevestigd door in Der Spiegel gepubliceerde slides die afkomstig zijn van NSA-klokkenluider Edward Snowden.

BICS is wereldleider in het onderhouden van internationaal communicatieverkeer tussen internationale telecommunicatieoperatoren. De hackers wilden in de eerste plaats de activiteiten van BICS in onder andere Jemen, Somalië en Iran volgen. Volgens Der Spiegel bleek dat deze operatie in 2010 werd uitgevoerd door een cel van de NSA, die ook verantwoordelijk was voor een hele serie andere grote aanvallen en infiltraties. Eveneens werd duidelijk dat het de bedoeling was om het mobiel telefoonverkeer van “targets” te kunnen blijven volgen wanneer deze reisden.

Door deze tegenstrijdige berichten, lekken en de publicatie van verschillende slides in Der Spiegel voel ik mij genoodzaakt om enkele pertinente vragen te stellen over deze onthullingen.

Mijn vragen aan de staatssecretaris zijn:

1) Kan de staatssecretaris bevestigen dat deze aanval is gestart in 2010, zoals in de slides van de NSA staat ? Kan de staatssecretaris bevestigen dat het om een geval van cyberspionage gaat, waarbij enkel bepaalde gegevens werden gemonitord en dat er geen “hacking” of sabotage op het netwerk heeft plaatsgevonden ?

2) Kan de staatssecretaris bevestigen dat Belgacom -zoals in de pers staat - in 2012 de eerste indicaties van problemen op het netwerk kreeg en dat slechts op 20 juni 2013 het virus werd aangeduid als de oorzaak ? Kan de staatssecretaris uitleggen waarom het zo lang geduurd heeft tussen de eerste problemen en de uiteindelijke ontdekking ?

3) Kan de staatssecretaris uitleggen wanneer het management op de hoogte is gebracht van eventuele problemen in 2012 en de ontdekking van het virus in 2013 ? Wanneer werden de security officer en de risk officer op de hoogte gebracht ? Welke toegang hebben de security officer en de risk officer tot het management en welke organisatorische veranderingen zullen worde doorgevoerd op dit vlak ?

4) Kan de staatssecretaris uitleggen hoe men het bedrijf of de bedrijven heeft geselecteerd die de opruiming en analyse moeten doen ?

5) De weerslag op de beurskoers van Belgacom is gelukkig beperkt gebleven. Heeft Belgacom een specifieke - al dan niet geheime - mededeling gedaan aan de belangrijkste aandeelhouders? Hoe reageren de grootste aandeelhouders, partners en klanten van Belgacom? Welke garanties heeft Belgacom moeten bieden ?

6) Welke inspraak heeft de federale overheid bij BICS? Wie vertegenwoordigt de federale overheid bij BICS? Wie zijn de andere aandeelhouders en hoe reageren zijn op deze onthullingen?

7) Kan de staatssecretaris uitleggen hoe Belgacom, dat zelf een veiligheidsbedrijf heeft, dat zelf partner is van veel hoogstaande en specifieke veiligheidsproducten en dat enorm veel reclame maakt met betrekking tot veiligheid op dergelijke manier totaal wordt overgenomen? Volgens de pers konden bijna alle administratieve paswoorden gebruikt worden door de inbrekers ?

8) Belgacom is ook eigenaar van Telindus, dat het ICT-en telefoonverkeer regelt voor publieke en private personen, zowel in het binnen- als buitenland. Wordt er bij Telindus ook uitgekeken naar malware? Is het Telindus-netwerk eveneens verbonden met het getroffen BICS-netwerk?

9) Zal de staatssecretaris Belgacom strengere veiligheidsvereisten opleggen alsook een verplichte externe veiligheidstest, gezien het strategisch kritisch belang ? Moeten deze niet door het BIPT worden uitgebreid naar alle grote Belgische telecombedrijven die een kritische impact of belangrijke klanten hebben ?

10) Kan de staatssecretaris inlichtingen geven over de stand van zaken van het onderzoek door de privacycommissie? Kan de staatssecretaris uitleggen waarom Belgacom verklaart dat geen klantengegevens werden geïmpacteerd als in de pers staat dat de indringers toegang hadden tot de routers, switches, servers en computers van de beheerders van het netwerk ? Is Belgacom zeker dat geen Belgen tot de targets van deze operatie behoorden ?

11) Wat is de opinie van de staatssecretaris indien wordt bevestigd dat de operatie werkelijk heeft plaatsgevonden vanop een spionagebasis op Brits grondgebied, die grotendeels betaald en bemand wordt door de Amerikaanse overheid en zich in eerste instantie richt op het Europese vasteland ? Heeft de regering de Britse en Amerikaanse regering om uitleg gevraagd? Welke stappen moeten worden genomen op supranationaal niveau (EU, Navo, … ) om dit ernstig incident aan te kaarten?

12) Belgacom verklaarde dat het BIPT de technische details van deze aanval naar de andere Belgische netwerken zal communiceren. De volgende dag verklaarde de FCCU dat zij deze rol op zich neemt. In hoeverre is deze communicatie al bezig en in welke mate beantwoordt ze aan de concrete behoeften van de veiligheidsverantwoordelijken van deze netwerken ?

13) Tot voor kort werd de malware op de Windows-pc's van Belgacom slechts door een beperkt aantal antivirusprogramma's ontdekt. Microsoft zelf heeft geen informatie gepubliceerd over deze malware en volgens sommigen is het zelfs geklasseerd als militair geheim. Kan de staatssecretaris garanderen dat de andere veiligheidsfirma's ook op de hoogte gesteld zijn, of worden, van de kenmerken van deze malware, zodat ook zij ze automatisch kunnen ontdekken ?

14) Werd dit virus reeds op andere netwerken in België ontdekt? Was dit dezelfde malware als deze die eind vorig jaar op het netwerk van de Belgische militairen werd ontdekt ?

15) Hoever staat het met de oprichting van het Centrum voor Cyberveiligheid? Wanneer worden de nodige fondsen vrijgemaakt?

16) Is het BELNIS-platform al samengekomen over deze afzonderlijke onthullingen? Is BELNIS sinds de cyberlekken van de week van 16 september al samengekomen om de strategieën te bespreken?

17) Heeft het departement van de staatssecretaris geijverd om de interne computersystemen van alle overheidsdiensten te laten screenen op malware? Werd dit al gedaan sinds de recente onthullingen? Hoe verloopt deze operatie en wie coördineert deze?

18) Zal de staatssecretaris een vergadering - eventueel achter gesloten deuren - organiseren voor het parlement waarbij we de juiste informatie kunnen krijgen over de stand van het onderzoek en de consequenties van de resultaten?