SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2012-2013 Zitting 2012-2013
________________
14 juin 2013 14 juni 2013
________________
Question écrite n° 5-9330 Schriftelijke vraag nr. 5-9330

de Karl Vanlouwe (N-VA)
van Karl Vanlouwe (N-VA)

au secrétaire d'Etat aux Affaires sociales, aux Familles et aux Personnes handicapées, chargé des Risques professionnels, et secrétaire dÉtat à la Politique scientifique, adjoint à la ministre des Affaires sociales et de la Santé publique
aan de staatssecretaris voor Sociale Zaken, Gezinnen en Personen met een handicap, belast met Beroepsrisico's, en staatssecretaris voor Wetenschapsbeleid, toegevoegd aan de minister van Sociale Zaken en Volksgezondheid
________________
La cyberattaque MiniDuke visant les ordinateurs des pouvoirs publics De cyberaanval MiniDuke op overheidscomputers 
________________
criminalité informatique
administration électronique
virus informatique
protection des données
computercriminaliteit
elektronische overheid
computervirus
gegevensbescherming
________ ________
14/6/2013Verzending vraag
13/12/2013Antwoord
14/6/2013Verzending vraag
13/12/2013Antwoord
________ ________
Herkwalificatie van : vraag om uitleg 5-3270 Herkwalificatie van : vraag om uitleg 5-3270
________ ________
Question n° 5-9330 du 14 juin 2013 : (Question posée en néerlandais) Vraag nr. 5-9330 d.d. 14 juni 2013 : (Vraag gesteld in het Nederlands)

Le 27 février dernier on a appris qu'une vingtaine d'autorités publiques avaient été victimes d'une attaque informatique opérée en vue de collecter des informations géopolitiques sensibles. L'attaque par le virus MiniDuke aurait touché des institutions étatiques et des ONG en Roumanie, en Irlande, au Portugal, en Tchéquie mais aussi en Belgique.

Dans votre réponse à ma question orale posée en séance plénière le 28 février, vous avez déclaré : « Cert.be a appris l’existence du logiciel malveillant apparemment d’espionnage par le communiqué de Kaspersky Lab et a immédiatement demandé des informations supplémentaires à la société. »

Vous ajoutiez que Cert.be « ne divulguera jamais quels services ont été la cible de cyberattaques. Cela nuirait gravement à la confiance qu’il a acquise. »

Entretemps la société d'antivirus BitDefender a pu retrouver un exemplaire du MiniDuke qui avait été créé 21 mois auparavant.

Voici mes questions :

1) Cert.be a-t-il déjà reçu les informations supplémentaires demandées à Kaspersky Lab ? De quoi traitent-elles ?

2) Les victimes de MiniDuke ont-elles déjà été informées que leurs ordinateurs ont été infectés ? Ont-elles pu confirmer le fait et effacer le maliciel ?

3) Quelle est votre réaction à l'annonce que MiniDuke ait pu être actif depuis bien plus longtemps qu'on ne le pensait ?

4) Comment se déroule l'enquête sur l'impact du MiniDuke dans les autres pays européens ?

5) Pourquoi est-il impossible de rendre public le nom des victimes du MiniDuke alors que cela s'est fait dans le passé ? Je renvoie à la réponse de votre département à ma question écrite n°5-5362.

 

Op 27 februari jongstleden werd bekend dat een twintigtal overheden het slachtoffer werden van een cyberaanval op zoek naar gevoelige geopolitieke informatie. Het MiniDuke-virus zou overheidsinstellingen en NGO's in Roemenië, Ierland, Portugal, Tsjechië, maar ook in België hebben aangevallen.

In uw antwoord op mijn mondelinge vraag in de plenaire vergadering van 28 februari stelde U dat "CERT.be het bestaan van de ogenschijnlijke spionagemalware vernomen heeft via de berichtgeving van Kaspersky Lab en de softwarebeveiligingsfirma onmiddellijk om extra informatie heeft gevraagd".

Daarnaast wist U ook te vertellen dat CERT.be “nooit zal bekendmaken welke diensten slachtoffer zijn van de MiniDuke cyberaanval, omdat het anders het opgebouwde vertrouwen in CERT.be ernstig zou schaden”.

Ondertussen heeft de beveiligingsfirma BitDefender een exemplaar van MiniDuke kunnen terugvinden dat meer dan 21 maanden geleden gecreëerd werd.

Mijn vragen aan de minister zijn:

1) Heeft CERT.be reeds de extra informatie ontvangen van Kaspersky Lab waar het om gevraagd heeft? Waarover handelt deze?

2) Werden de slachtoffers van MiniDuke reeds geïnformeerd dat hun computers geïnfecteerd waren? Hebben ze dit kunnen bevestigen en is de malware gewist?

3) Wat is uw reactie op de nieuwsberichten dat MiniDuke al veel langer actief was dan gedacht?

4) Hoe verloopt het onderzoek naar de impact van MiniDuke in de andere Europese lidstaten?

5) Waarom is het onmogelijk om de Belgische slachtoffers van MiniDuke bekend te maken terwijl dit in het verleden wel mogelijk was? Ik verwijs naar het antwoord van uw departement op mijn schriftelijke vraag 5-5362.

 
Réponse reçue le 13 décembre 2013 : Antwoord ontvangen op 13 december 2013 :

L'honorable membre trouvera ci-après la réponse à sa question.

  1. CERT.be a reçu une information supplémentaire concernant quatre adresses IP qui, selon Kaspersky, appartiendraient A d'éventuelles victimes belges.

  2. CERT.be n'a pas pu contacter directement des victimes belges de MiniDuke, mais a mis au courant les fournisseurs d'accès h internet (FAI) concernés de même qu'un autre CERT européen.

  3. Des informations ont déjà été publiées par différentes sources à propos de MiniDuke et de ses possibles variantes et il y en aura sans doute encore. CERT.be prend acte de ces informations qu'il utilise dans les enquêtes actuelles et éventuellement à venir.

  4. CERT.be sait simplement si une enquête a été lancée par un certain nombre de CERT européens et/ou est en cours.

  5. CERT.be n'est pas compétent pour obliger les FAI concernés h identifier les victimes potentielles sur la base des adresses IP qui leur sont communiquées. Le bon fonctionnement de CERT.be se fonde entre autres, dans une large mesure, sur la confiance que les victimes lui accordent. C'est pourquoi, CERT.be ne rend jamais publique des informations même détaillées sur des incidents individuels, ce qui n'exclut pas que les victimes puissent elles- mêmes décider de laisser passer ces informations.

  1. Het geachte lid vindt hierna het antwoord op zijn vraag.

  2. CERT.be heeft extra informatie ontvangen. Deze informatie betrof vier IP adressen die volgens Kaspersky zou toebehoren aan mogelijke Belgische slachtoffers.

  3. CERT.be heeft geen slachtoffers van MiniDuke rechtstreeks kunnen contacteren. CERT.be heeft de desbetreffende ISP's op de hoogte gebracht en heeft ook één ander Europees CERT op de hoogte gebracht.

  4. Over MiniDuke en mogelijke varianten werd er door verschillende bronnen informatie gepubliceerd en zal er ongetwijfeld nog informatie gepubliceerd worden. CERT.be neemt hiervan akte en gebruikt deze in huidige en mogelijk toekomstige onderzoeken.

  5. CERTbe weet enkel dat een aantal Europese CERTs een onderzoek hebben opgestart en/of lopende hebben.

  6. CERT.be is niet bevoegd om de betrokken ISP's te verplichten om de potentiële slachtoffers aan de hand van de gecommuniceerde W adressen te identificeren. De goede werking van CERT.be berust onder andere voor een groot deel op het vertrouwen dat slachtoffers stellen in CERT.be. Daarom zal CERT.be nooit zelf gedetailleerde informatie publiek maken over individuele incidenten. Dit sluit uiteraard niet uit dat de slachtoffers zelf kunnen beslissen om meer gedetailleerde informatie vrij te geven.