SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2016-2017 Zitting 2016-2017
________________
15 décembre 2016 15 december 2016
________________
Question écrite n° 6-1178 Schriftelijke vraag nr. 6-1178

de Jean-Jacques De Gucht (Open Vld)

van Jean-Jacques De Gucht (Open Vld)

au vice-premier ministre et ministre de la Sécurité et de l'Intérieur, chargé de la Régie des bâtiments

aan de vice-eersteminister en minister van Veiligheid en Binnenlandse Zaken, belast met de Regie der gebouwen
________________
Sites internet des pouvoirs publics - Sécurité des communications - Fuites - Amélioration de la sécurité - Mesures Overheidswebsites - Veilige communicatie - Lekken - Verbetering van de veiligheid - Maatregelen 
________________
Internet
criminalité informatique
protection des données
Pays-Bas
ministère
administration publique
site internet
internet
computercriminaliteit
gegevensbescherming
Nederland
ministerie
overheidsadministratie
internetsite
________ ________
15/12/2016Verzending vraag
(Einde van de antwoordtermijn: 19/1/2017)
23/2/2017Antwoord
15/12/2016Verzending vraag
(Einde van de antwoordtermijn: 19/1/2017)
23/2/2017Antwoord
________ ________
Aussi posée à : question écrite 6-1176
Aussi posée à : question écrite 6-1177
Aussi posée à : question écrite 6-1179
Aussi posée à : question écrite 6-1180
Aussi posée à : question écrite 6-1181
Aussi posée à : question écrite 6-1182
Aussi posée à : question écrite 6-1183
Aussi posée à : question écrite 6-1184
Aussi posée à : question écrite 6-1185
Aussi posée à : question écrite 6-1186
Aussi posée à : question écrite 6-1187
Aussi posée à : question écrite 6-1188
Aussi posée à : question écrite 6-1189
Aussi posée à : question écrite 6-1190
Aussi posée à : question écrite 6-1191
Aussi posée à : question écrite 6-1192
Aussi posée à : question écrite 6-1193
Aussi posée à : question écrite 6-1176
Aussi posée à : question écrite 6-1177
Aussi posée à : question écrite 6-1179
Aussi posée à : question écrite 6-1180
Aussi posée à : question écrite 6-1181
Aussi posée à : question écrite 6-1182
Aussi posée à : question écrite 6-1183
Aussi posée à : question écrite 6-1184
Aussi posée à : question écrite 6-1185
Aussi posée à : question écrite 6-1186
Aussi posée à : question écrite 6-1187
Aussi posée à : question écrite 6-1188
Aussi posée à : question écrite 6-1189
Aussi posée à : question écrite 6-1190
Aussi posée à : question écrite 6-1191
Aussi posée à : question écrite 6-1192
Aussi posée à : question écrite 6-1193
________ ________
Question n° 6-1178 du 15 décembre 2016 : (Question posée en néerlandais) Vraag nr. 6-1178 d.d. 15 december 2016 : (Vraag gesteld in het Nederlands)

Les connexions vers de nombreux sites internet des pouvoirs publics néerlandais ne sont pas bien sécurisées. C'est ce qui ressort de l'étude réalisée par l'Open State Foundation, une organisation non lucrative qui « veut augmenter la transparence en politique ». On peut reconnaître une connexion sécurisée au petit cadenas qui apparaît dans le moteur de recherche.

L'organisation a examiné 1.816 sites internet des pouvoirs publics ; seuls 44 % d'entre eux ont des connexions sécurisées. 6 % ont effectivement une connexion sécurisée mais ne l'ont pas bien configurée, ce qui laisse la porte ouverte à des piratages.

La connexion vers le site internet de la Rijksrecherche n'est pas sécurisée. Cette section de la police néerlandaise mène des enquêtes sur les manquements commis par des fonctionnaires publics, notamment des collaborateurs de police. Jusqu'à la fin du mois de novembre 2016, quiconque dénonçait un manquement sur le site de la Rijksrecherche courait toutefois le risque que son message soit lu par d'autres personnes. Cela pouvait par exemple se faire par des bornes wifi publiques, comme dans le train, dans un hôtel ou dans un restaurant : la connexion était alors facile à intercepter.

Après que le site d'information néerlandais NOS a signalé la chose, le formulaire de dénonciation a été enlevé du site. Un porte-parole a fait savoir qu'il n'était temporairement plus possible de signaler des abus. Les citoyens qui ont des informations à communiquer peuvent encore téléphoner. On examine si des mesures de suivi sont nécessaires.

Même la page d'accueil du site internet de l'administration fiscale n'a pas de connexion sécurisée. L'accès au site de l'administration fiscale est bien sécurisé mais comme la page d'accueil ne l'est pas, un hacker peut forcer une connexion non sécurisée. Cela peut par exemple se faire en créant une fausse borne wifi dans une gare ou un autre endroit très fréquenté.

Ironie de la situation : la connexion du site officiel qui est censé promouvoir une administration consciente des dangers d'internet, n'est pas bien sécurisée.

L'étude concernait les pages d'accueil des sites internet publics ; il est possible que certaines parties des sites soient mieux sécurisées. Les experts en sécurité informatique conseillent toutefois de prévoir une connexion sécurisée pour l'ensemble du site internet. On peut reconnaître les sites non sécurisés à l'absence de cadenas dans le moteur de recherche.

De même, certains sites internet d'ambassades néerlandaises dans des pays où les droits fondamentaux de l'homme sont violés, ne sont pas sécurisés avec une connexion https en bon état de marche.

Une étude menée antérieurement sur les sites des pouvoirs publics dans notre pays a révélé des défauts similaires. Fedict, le service public fédéral Technologie de l'Information et de la Communication, a réagi en indiquant qu'il allait exécuter plus rapidement les mesures prévues pour améliorer le cryptage SSL.

Quant au caractère transversal de la question : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité pour la période 2016-2019 et ont fait l'objet d'un débat lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. La criminalité informatique est l'une des grandes priorités établies. Cette question concerne dès lors une compétence régionale transversale, les Régions intervenant surtout dans le volet préventif.

C'est pourquoi je souhaite vous poser les questions suivantes :

1) N'y a-t-il aucun risque de sécurité pour les sites internet des services publics fédéraux relevant de vos compétences ainsi que pour vos propres sites ? Pouvez-vous dresser la liste des sites dont vous avez la responsabilité ?

2) N'y a-t-il aucun risque, lorsque des utilisateurs se connectent via des bornes wifi, que l'on puisse lire les messages échangés avec des sites de services publics dont vous avez la responsabilité ? Pouvez-vous détailler votre réponse ?

3) Est-il vrai que parmi les sites internet des services publics qui utilisent effectivement une connexion https, il y en a encore un certain nombre qui sont configurés de telle sorte qu'ils présentent également un risque de sécurité ?

4) Pouvez-vous énumérer les sites officiels relevant spécifiquement de vos compétences en y incluant les sites des services publics fédéraux relevant de vos compétences et les sites des services extérieurs ?

5) Les mesures annoncées par le passé pour améliorer le cryptage SSL ont-elles effectivement été réalisées par Fedict sur tous les sites relevant de vos compétences ? Pouvez-vous fournir des explications concrètes à ce sujet ?

6) Pouvez-vous garantir qu'aucun des sites relevant de vos compétences ne travaille plus avec SSL-3 ? Le cas échéant, pouvez-vous expliquer votre réponse ?

7) Pouvez-vous énumérer concrètement les mesures qui ont déjà été prises depuis que l'étude réalisée sur les sites des services publics belges a mis en lumière certains défauts, en vue de sécuriser la connexion avec les sites internet des services publics ?

 

De verbindingen naar veel Nederlandse overheidswebsites zijn niet goed beveiligd. Dat blijkt uit onderzoek van de Open State Foundation, een non-profitorganisatie die « transparantie in de politiek wil vergroten ». Een beveiligde verbinding is te herkennen aan een slotje in de browser.

De organisatie onderzocht 1 816 overheidswebsites ; slechts 44 % daarvan ondersteunt beveiligde verbindingen. Nog eens 6 % heeft wel een beveiligde verbinding, maar heeft hem niet goed ingesteld, waardoor aanvallers alsnog een kans hebben.

Onder meer de verbinding naar de website van de Rijksrecherche is onbeveiligd. Die politie-organisatie doet onderzoek naar misdragingen door overheidsfunctionarissen, waaronder politiemedewerkers. Wie een misstand melde op de site van de Rijksrecherche, liep tot woensdagavond echter het risico dat anderen meelazen. Dat kon bijvoorbeeld bij openbare wifi-hotspots, zoals in de trein, in een hotel of restaurant : de verbinding was dan eenvoudig te onderscheppen.

Na melding van de NOS is dat formulier verwijderd van de site. « Het is tijdelijk niet meer mogelijk om misstanden te melden », laat een woordvoerder weten. Burgers met tips kunnen nog wel bellen. Er wordt onderzocht of « vervolgmaatregelen » nodig zijn.

Ook de voorpagina van de website van de Belastingdienst heeft geen beveiligde verbinding. Het inloggen op de Belastingdienst-site is wel beveiligd, maar doordat de voorpagina dat niet is, kan een hacker een onveilige verbinding afdwingen. Dat kan bijvoorbeeld door een valse wifi-hotspot op te zetten op een station of een andere drukke plek.

Ironisch genoeg is ook de verbinding van de overheidssite die is bedoeld om een « internetbewuste overheid » te promoten niet goed beveiligd.

Het onderzoek betrof de voorpagina's van de overheidssites ; het is mogelijk dat bepaalde onderdelen van de websites beter zijn beveiligd. Beveiligingsexperts raden echter aan om sowieso de volledige website van een veilige verbinding te voorzien. De onbeveiligde sites zijn te herkennen aan het ontbreken van een slotje in de browser.

Ook zijn er een aantal websites van Nederlandse ambassades in landen waar bassale mensenrechten worden geschonden die niet beveiligd zijn met een goed functionerende https-verbinding.

Eerder onderzoek naar de overheidssites in ons land toonde gelijkaardige zwakheden aan. In een reactie stelde Fedict, de federale overheidsdienst Informatie- en Communicatietechnologie, dat het reeds geplande maatregelen om de SSL-encryptie te verbeteren nu versneld zal uitvoeren.

Wat betreft transversaal karakter van de vraag : de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2016–2019, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Eén van de vastgelegde prioriteiten is de informaticacriminaliteit. Het betreft aldus een transversale gewestaangelegenheid waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Daarom heb ik volgende vragen voor u :

1) Zijn er geen veiligheidsrisico's voor de websites van de federale overheidsdiensten waarvoor u bevoegd bent, alsook uw eigen sites ? Kunt u de sites waarvoor u instaat oplijsten ?

2) Is er geen risico dat, bij het inloggen van gebruikers via wifi-hotspots, dat de communicatie met de overheidssites waarvoor u instaat kan worden ingelezen ? Kan u dit toelichten ?

3) Is het waar dat van de overheidswebsites die wel een https-verbinding gebruiken er ook nog een aantal websites zijn die zodanig zijn ingesteld dat er ook daar een beveiligingsrisico bestaat ?

4) Kunt u oplijsten voor welke overheidssites u specifiek bevoegd bent en dit inclusief de sites van de federale overheidsdiensten waarvoor u bevoegd bent en de sites van de buitendiensten ?

5) Werden de eerder aangekondigde maatregelen om de SSL-encryptie te verbeteren daadwerkelijk doorgevoerd door Fedict op alle sites waarvoor u bevoegd bent ? Kunt u dit concreet toelichten ?

6) Kunt u garanderen dat geen enkele site waarvoor u bevoegd bent nog werkt met SSL-3 ? Kunt u dit desgevallend toelichten ?

7) Kunt u concreet oplijsten welke maatregelen reeds zijn genomen sinds het onderzoek naar de Belgische overheidssites enkele zwakheden oplijstte om aldus een veilige verbinding met overheidswebsites tot stand te brengen ?

 
Réponse reçue le 23 février 2017 : Antwoord ontvangen op 23 februari 2017 :

L’honorable membre trouvera ci-après la réponse à ses questions :

IBZ

1.

www.ibz.be: aucun risque connu.

www.civieleveiligheid.be/fr: il existe un formulaire de contact et des formulaires de candidature, mais le site sera entièrement rénové et updaté début 2017.

www.112.be/fr: pas de communication entre utilisateur et site.

www.ikwordbrandweer.be/fr: formulaire de contact.

www.crisiscentrum.be/fr: voir réponse de Fedict au sujet des sites hébergés par celui-ci.

www.besafe.be: ce site Internet est sécurisé. Un petit cadenas s’affiche sur le navigateur web. Ledit site est sécurisé par Cloudflare. CloudFlare est un service permettant au site web d’être plus rapide et plus sûr. A travers le monde, ce service assure des connexions https sécurisées afin de tenir à l’écart les pirates informatiques et autres spammeurs. En moyenne, un site web qui fait usage de CloudFlare est deux fois aussi rapide, utilise 60% de largeur de bande en moins et est considérablement plus sûr.

https://vigilis.ibz.be: petit cadenas et connexion https présents.

https://www.bounce-resilience-tools.eu: petit cadenas et connexion https présents. La gestion s’effectue chez Fedict. Ce site Internet sera intégré dans le nouveau site web de Besafe pour être ensuite retiré.

http://www.1joursans.be: petit cadenas et connexion https présents. Site web en WordPress. La gestion s’effectue en concertation avec les provinces.

www.sécurisationpourmédecins.be/fr: ni petit cadenas, ni connexion https. Ce site web sera intégré au nouveau site Internet de Besafe pour être ensuite retiré.

www.habiterensécurité.be: ni petit cadenas, ni connexion https. L’intention est d’intégrer ce site dans le nouveau site Internet de Besafe.

www.nejouezpasaveclefeu.be: ni petit cadenas, ni connexion https. Nom de domaine et hébergement chez Weblounge. L’intention est d’intégrer ce site dans le nouveau site Internet de Besafe.

www.securitedespharmacies.be: ni petit cadenas, ni connexion https. Nom de domaine et hébergement chez Weblounge.

http://vct-cpcl.be/fr: il existe un risque pour la sécurité en raison de la non-utilisation d’une connexion sécurisée par https avec cryptage SSL.

Institutions et Population: Non, ci-dessous la liste des applications web :

  • www.docstop.be

  • www.checkdoc.be

  • m.checkdoc.be

  • www.declar.rrn.fgov.be

  • Mijndossier.rrn.fgov.be

  • Mondossier.rrn.fgov.be

  • Meindossier.rrn.fgov.be

  • www.mijndossier.rrn.fgov.be

  • www.mondossier.rrn.fgov.be

  • www.meindossier.rrn.fgov.be

  • www.webapp.rrn.fgov.be

  • www.ibz.rrn.fgov.be

2.

www.ibz.be: non, la connexion avec ce site est sécurisée par cryptage avec un certificat SSL, et le système SSL est imposé par HSTS.

www.civieleveiligheid.be/fr: non, la connexion avec ce site est sécurisée par cryptage avec un certificat SSL.

www.ikwordbrandweer.be/fr: pas de connexion https, celle-ci sera mise en œuvre début 2017 à condition que le budget nécessaire soit disponible.

www.crisiscentrum.be/fr: voir réponse de Fedict au sujet des sites hébergés par celui-ci.

www.besafe.be: voir réponse à la question 1.

https://vigilis.ibz.be: voir réponse à la question 1.

https://www.bounce-resilience-tools.eu: voir réponse à la question 1.

http://www.1joursans.be: voir réponse à la question 1.

www.sécurisationpourmédecins.be/fr: voir réponse à la question 1.

www.habiterensécurité.be: voir réponse à la question 1.

www.nejouezpasaveclefeu.be: voir réponse à la question 1.

www.securitedespharmacies.be: voir réponse à la question 1.

http://vct-cpcl.be/fr: il existe un risque en raison de l’absence d’une connexion sécurisée. Il est vrai que le site ne comprend quasiment voire aucune information sensible. L’impact sera donc limité au cas où des informations non cryptées se verraient interceptées.

Institutions et Population : tous les sites protégés les ont via une authentification double au moyen du certificat de la carte Eid.

3.

www.ibz.be: les mesures nécessaires ont été prises pour être protégé contre les bugs SSL comme POODLE, contre les codes dangereux et les protocoles dangereux. Cette sécurisation a été testée sur le site-test de Qualsys: https://www.sslabs.com/ssltest et s’y est vu décerner un label A.

www.civieleveiligheid.be/fr: les mesures nécessaires ont été prises pour être protégé contre les bugs SSL comme POODLE, contre les codes dangereux et les protocoles dangereux. Cette sécurisation a été testée sur le site-test de Qualsys: https://www.sslabs.com/ssltest et s’y est vu décerner un label A.

www.ikwordbrandweer.be/fr: voir réponse à la question 2.

www.crisiscentrum.be/fr: voir réponse de Fedict au sujet des sites hébergés par celui-ci.

www.besafe.be: voir réponse à la question 1.

https://vigilis.ibz.be: voir réponse à la question 1.

https://www.bounce-resilience-tools.eu: voir réponse à la question 1.

http://www.1joursans.be: voir réponse à la question 1.

www.sécurisationpourmédecins.be/fr: ne s’applique pas, car aucune connexion https.

www.habiterensécurité.be: ne s’applique pas, car aucune connexion https.

www.nejouezpasaveclefeu.be: ne s’applique pas, car aucune connexion https.

www.securitedespharmacies.be: ne s’applique pas, car aucune connexion https.

http://vct-cpcl.be/fr: ne s’applique pas, car aucune connexion https.

Institutions et Population : non, les sites web sont contrôlés sur la base du protocole (tls), de la grandeur des clés d’encryption, des différentes sortes de protocoles d’encryption et de leur résistance, etc.

4.

www.ibz.be

www.civieleveiligheid.be/fr

www.112.be/fr

www.ikwordbrandweer.be/fr

www.crisiscentrum.be/fr

www.besafe.be

https://vigilis.ibz.be

https://www.bounce-resilience-tools.eu

http://www.1joursans.be

www.sécurisationpourmédecins.be/fr

www.habiterensécurité.be

www.nejouezpasaveclefeu.be

www.securitedespharmacies.be

http://vct-cpcl.be/fr

Institutions et Population : voir question 1

5.

www.ibz.be:

www.civieleveiligheid.be/fr: ce site n’est pas entretenu par Fedict.

www.112.be: ce site n’est pas entretenu par Fedict.

www.ikwordbrandweer.be/fr: ce site n’est pas entretenu par Fedict.

www.crisiscentrum.be/fr: voir réponse de Fedict au sujet des sites hébergés par celui-ci.

www.besafe.be: nous ne sommes pas au courant des mesures annoncées par Fedict visant à améliorer le cryptage SSL.

https://vigilis.ibz.be:

https://www.bounce-resilience-tools.eu:

http://www.1joursans.be:

www.sécurisationpourmédecins.be/fr:

www.habiterensécurité.be:

www.nejouezpasaveclefeu.be:

www.securitedespharmacies.be:

http://vct-cpcl.be/fr: ne s’applique pas, car aucune connexion https/aucun cryptage SSL.

Institutions et Population : les sites web sont contrôlés. Nous accordons de l’importance à toutes les sources d’information.

6.

www.ibz.be: l’accès via SSLv3 est bloqué.

www.civieleveiligheid.be/fr: l’accès via SSLv3 est bloqué.

www.ikwordbrandweer.be/fr: voir réponse à la question 2.

www.crisiscentrum.be/fr: voir réponse de Fedict au sujet des sites hébergés par celui-ci.

www.besafe.be: ce site Internet ne fonctionne plus avec SSL-3, mais avec TLS 1.2.

https://vigilis.ibz.be: ce site Internet ne fonctionne plus avec SSL-3, mais avec TLS 1.2.

https://www.bounce-resilience-tools.eu: ce site Internet ne fonctionne plus avec SSL-3, mais avec TLS 1.2.

http://www.1joursans.be: ce site Internet ne fonctionne plus avec SSL-3, mais avec TLS 1.2.

www.sécurisationpourmédecins.be/fr:

www.habiterensécurité.be:

www.nejouezpasaveclefeu.be:

www.securitedespharmacies.be:

http://vct-cpcl.be/fr: ne s’applique pas, car aucune connexion https/aucun cryptage SSL.

Institutions et Population : SSL v3 est dépassé, n’est plus sûr et n’est plus autorisé comme protocole.

7.

www.ibz.be: la sécurité de la connexion SSL a été optimalisée avec le test Qualsys.

www.civieleveiligheid.be/fr: la sécurité de la connexion SSL a été optimalisée avec le test Qualsys. Marché public attribué pour rénover le site web début 2017.

www.crisiscentrum.be/fr: voir réponse de Fedict au sujet des sites hébergés par celui-ci.

www.besafe.be: ce site Internet est protégé par Cloudflare.

https://vigilis.ibz.be:

https://www.bounce-resilience-tools.eu:

http://www.1joursans.be:

www.sécurisationpourmédecins.be/fr:

www.habiterensécurité.be:

www.nejouezpasaveclefeu.be:

www.securitedespharmacies.be:

http://vct-cpcl.be/fr: aucune.

Institutions et Population :

  • Upgrade en continu de l’infrastructure de sécurité

  • Adaptations régulières des protocoles d’encryption, de la grandeur des clés, etc.

  • Adaptation des applications web (nouvelles versions, etc.)

  • Contrôle pour la classification A au niveau de l’encryption

AFCN

1.

Pour les sites web afcn.fgov.be et telerad.be : un site web sûr à 100% n’existe pas. Une attaque dDos qui empêcherait temporairement l’accès à un site, par exemple, ne peut être évitée. Le site de l’AFCN est sécurisé avec les technologies nécessaires et la mise à jour de ces systèmes se fait sur base quotidienne.

2.

Actuellement, aucun login n’est nécessaire sur notre site, cette question n’est donc pas pertinente.

Notre site n’a actuellement pas de connexion https . La connexion n’est donc pas (encore) sécurisée.

3.

Cela est hors de notre compétence.

4.

Voir question n°1.

5 & 7.

Au cours de 2017, le site web de l’AFCN sera hébergé par FEDICT et les mesures nécessaires seront prévues par FEDICT.

6.

Aucun SSL-3 n’est utilisé sur le site web de l’AFCN ou de Telerad.

Régie des Bâtiments

1.

Tous les experts informatiques s’accordent pour dire que le risque zéro n’existe pas. Par conséquent, il est illusoire de penser qu’un site ne soit soumis à aucun risque. La sécurité informatique consiste précisément à évaluer et à gérer les différents risques, afin de traiter les plus importants. La Régie des bâtiments, outre son site web externe, est également en charge d’un petit nombre de sites partagés avec ses clients et certaines firmes partenaires pour la gestion des bâtiments de l’Etat. Nous assurons la protection de ces sites via diverses méthodes, incluant la gestion des accès utilisateurs et certains mécanismes de détection d’anomalies.

2.

Dans le cas d’accès via des hotspots publics, l’attaque de type “man-in-the-middle” est un risque clairement présent qu’il ne faut pas sous-évaluer. L’usage systématique de connections sécurisées est une des premières mesures mises en œuvre pour éviter le vol de données des clients.

3.

Nous ne pouvons assurément pas parler de tous les sites fédéraux. Cependant nous avons modifié les types d’usage de connexions sécurisées afin d’éliminer les variantes qui étaient sujettes à des faiblesses connues (SSLv2 et v3 etc.)

4.

www.buildingsagency.be hydra.buildingsagency.be eis.buildingsagency.be archibus.buildingsagency.be webmail.buildingagency.be

5.

Les sites référencés ci-dessus sont présents dans les locaux de la Régie des Bâtiments et pas chez Fedict. Les mesures prises sont donc indépendantes des actions de Fedict.

6.

Les variantes SSL ne fournissant pas le degré de sécurité nécessaire ont été invalidées dans le reverse proxy de la Régie afin d’assurer qu’il est impossible de les utiliser pour nos sites accessibles depuis l’Internet.

7.

Voir les réponses aux questions ci-dessus.

Het geachte lid vindt hieronder het antwoord op zijn vragen:

IBZ

1.

www.ibz.be: geen gekende.

www.civieleveiligheid.be: contactformulier en sollicitatieformulieren, maar de site wordt begin 2017 volledig vernieuwd en geüpgraded.

www.112.be: geen communicatie tussen gebruiker en site.

www.ikwordbrandweer.be: contactformulier.

www.crisiscentrum.be: zie antwoord van Fedict over de sites die bij hen worden gehost.

www.besafe.be: deze website is beveiligd. Er is een slotje in de browser. De website is beveiligd via Cloudflare. CloudFlare is een dienst waarmee de website sneller en veiliger wordt. Het zorgt wereldwijd voor beveiligde https-verbindingen om zo hackers en spammers buiten te houden. Gemiddeld is een website die gebruik maakt van CloudFlare twee keer zo snel, gebruikt 60 % minder bandbreedte en is significant veiliger.

https://vigilis.ibz.be: slotje en https-verbinding aanwezig.

https://www.bounce-resilience-tools.eu: slotje en https-verbinding aanwezig. Het beheer ligt bij Fedict. Deze website zal geïntegreerd worden in de nieuwe website van besafe en zal nadien verwijderd worden.

https://www.1dagniet.be: slotje en https-verbinding aanwezig. Website in wordpress. Het beheer gebeurt in overleg met de provincies.

www.veiligheidvanartsen.be: geen slotje, geen https-verbinding. Deze website zal geïntegreerd worden in de nieuwe website van besafe en zal nadien verwijderd worden.

www.veiligewoning.be: geen slotje, geen https-verbinding. Het plan is om deze site te integreren in de nieuwe website van besafe.

www.speelnietmetvuur.be: geen slotje, geen https-verbinding. Domeinnaam en hosting bij Weblounge. Het plan is om deze site te integreren in de nieuwe website van besafe.

www.veiligheidvanapotheken.be: geen slotje, geen https-verbinding. Domeinnaam en hosting bij Weblounge.

http://vct-cpcl.be: er is een veiligheidsrisico omwille van het niet-gebruiken van een beveiligde verbinding via https met een SSL-encryptie.

Instellingen en Bevolking: Neen, hierbij de lijst van de webapplicaties :

  • www.docstop.be

  • www.checkdoc.be

  • m.checkdoc.be

  • www.declar.rrn.fgov.be

  • Mijndossier.rrn.fgov.be

  • Mondossier.rrn.fgov.be

  • Meindossier.rrn.fgov.be

  • www.mijndossier.rrn.fgov.be

  • www.mondossier.rrn.fgov.be

  • www.meindossier.rrn.fgov.be

  • www.webapp.rrn.fgov.be

  • www.ibz.rrn.fgov.be

2.

www.ibz.be: nee, de verbinding met deze site wordt beveiligd via encryptie met een SSL-certificaat en SSL wordt afgedwongen met HSTS.

www.civieleveiligheid.be: nee, de verbinding met deze site wordt beveiligd via encryptie met een SSL-certificaat.

www.ikwordbrandweer.be: geen https-verbinding, dit wordt begin 2017 geïmplementeerd mits het benodigd budget hiervoor beschikbaar is.

www.crisiscentrum.be: zie antwoord van Fedict over de sites die bij hen worden gehost.

www.besafe.be: zie antwoord op vraag 1.

https://vigilis.ibz.be: zie antwoord op vraag 1.

https://www.bounce-resilience-tools.eu: zie antwoord op vraag 1.

https://www.1dagniet.be: zie antwoord op vraag 1.

www.veiligheidvanartsen.be: zie antwoord op vraag 1.

www.veiligewoning.be: zie antwoord op vraag 1.

www.speelnietmetvuur.be: zie antwoord op vraag 1.

www.veiligheidvanapotheken.be: zie antwoord op vraag 1.

http://vct-cpcl.be: er is een risico omwille van het ontbreken van een beveiligde verbinding. De site bevat echter weinig of geen gevoelige informatie. De impact is dus beperkt als er onversleutelde informatie onderschept zou worden.

Instellingen en Bevolking: alle beveiligde websites hebben een dubbelzijdige authenticatie met het certificaat van de Eid-kaart.

3.

www.ibz.be: de noodzakelijke maatregelen werden genomen om beveiligd te zijn tegen SSL-bugs zoals POODLE, onveilige cyphers en onveilige protocols. Deze beveiliging werd getest op de testsite van Qualsys: https://www.sslabs.com/ssltest en kreeg daar een A-label.

www.civieleveiligheid.be: de noodzakelijke maatregelen werden genomen om beveiligd te zijn tegen SSL-bugs zoals POODLE, onveilige cyphers en onveilige protocols. Deze beveiliging werd getest op de testsite van Qualsys: https://www.sslabs.com/ssltest en kreeg daar een A-label.

www.ikwordbrandweer.be: zie antwoord op vraag 2.

www.crisiscentrum.be: zie antwoord van Fedict over de sites die bij hen worden gehost.

www.besafe.be: zie antwoord op vraag 1.

https://vigilis.ibz.be: zie antwoord op vraag 1.

https://www.bounce-resilience-tools.eu: zie antwoord op vraag 1.

https://www.1dagniet.be: zie antwoord op vraag 1.

www.veiligheidvanartsen.be: niet van toepassing, want geen https-verbinding.

www.veiligewoning.be: niet van toepassing, want geen https-verbinding.

www.speelnietmetvuur.be: niet van toepassing, want geen https-verbinding.

www.veiligheidvanapotheken.be: niet van toepassing, want geen https-verbinding.

http://vct-cpcl.be: niet van toepassing, want geen https-verbinding.

Instellingen en Bevolking: neen , de websites worden gecontroleerd op basis van protocol ( tls) , grootte van encryptiesleutels , soorten encryptieprotocollen en hun resistentie , enz.

4.

www.ibz.be

www.civieleveiligheid.be

www.112.be

www.ikwordbrandweer.be

www.crisiscentrum.be

www.besafe.be

https://vigilis.ibz.be

https://www.bounce-resilience-tools.eu

https://www.1dagniet.be

www.veiligheidvanartsen.be

www.veiligewoning.be

www.speelnietmetvuur.be

www.veiligheidvanapotheken.be

http://vct-cpcl.be

Instellingen en Bevolking: zie vraag 1

5.

www.ibz.be:

www.civieleveiligheid.be: deze site wordt niet door Fedict onderhouden.

www.112.be: deze site wordt niet door Fedict onderhouden.

www.ikwordbrandweer.be: deze site wordt niet door Fedict onderhouden.

www.crisiscentrum.be: zie antwoord van Fedict over de sites die bij hen worden gehost.

www.besafe.be: van de aangekondigde maatregelen van Fedict om de SSL-encryptie te verbeteren, zijn wij niet op de hoogte.

https://vigilis.ibz.be:

https://www.bounce-resilience-tools.eu:

https://www.1dagniet.be:

www.veiligheidvanartsen.be:

www.veiligewoning.be:

www.speelnietmetvuur.be:

www.veiligheidvanapotheken.be:

http://vct-cpcl.be: niet van toepassing, want geen https-verbinding/SSL-encryptie.

Instellingen en Bevolking: De websites worden gecontroleerd. We hechten belang aan alle informatiebronnen

6.

www.ibz.be: de toegang via SSLv3 is geblokkeerd.

www.civieleveiligheid.be: de toegang via SSLv3 is geblokkeerd.

www.ikwordbrandweer.be: zie antwoord op vraag 2.

www.crisiscentrum.be: zie antwoord van Fedict over de sites die bij hen worden gehost.

www.besafe.be: deze website werkt niet meer met SSL-3, maar met TLS 1.2.

https://vigilis.ibz.be: deze website werkt niet meer met SSL-3, maar met TLS 1.2.

https://www.bounce-resilience-tools.eu: deze website werkt niet meer met SSL-3, maar met TLS 1.2.

https://www.1dagniet.be: deze website werkt niet meer met SSL-3, maar met TLS 1.2.

www.veiligheidvanartsen.be:

www.veiligewoning.be:

www.speelnietmetvuur.be:

www.veiligheidvanapotheken.be:

http://vct-cpcl.be: niet van toepassing, want geen https-verbinding/SSL-encryptie.

Instellingen en Bevolking: SSL v3 is voorbijgestreefd en niet meer veilig , en wordt als protocol niet toegelaten .

7.

www.ibz.be: de veiligheid van de SSL-verbinding werd geoptimaliseerd met de Qualsys-test.

www.civieleveiligheid.be: de veiligheid van de SSL-verbinding werd geoptimaliseerd met de Qualsys-test. De overheidsopdracht is toegewezen om de website begin 2017 te vernieuwen.

www.crisiscentrum.be: zie antwoord van Fedict over de sites die bij hen worden gehost.

www.besafe.be: deze website is beveiligd via Cloudflare.

https://vigilis.ibz.be:

https://www.bounce-resilience-tools.eu:

https://www.1dagniet.be:

www.veiligheidvanartsen.be:

www.veiligewoning.be:

www.speelnietmetvuur.be:

www.veiligheidvanapotheken.be:

http://vct-cpcl.be: geen.

Instellingen en Bevolking:

  • continue upgrade van de veiligheidsinfrastructuur

  • Regelmatige aanpassingen van de encryptieprotocollen , grootte van de sleutels, enz.

  • Aanpassing van de webapplicaties ( nieuwe versies, enz.)

  • controle voor classificatie A op vlak van encryptie

FANC

1.

Voor de websites fanc.fgov.be en telerad.be : 100% veiligheid voor een website bestaat niet. Een dDos aanval die de toegang tot een website tijdelijk belet, bijvoorbeeld kan niet vermeden worden. De website van het FANC is met de nodige technologieën beveiligd en het bijwerken van deze systemen gebeurt op dagelijkse basis.

2.

Daar op onze site momenteel geen login vereist is, is dit voor ons niet relevant.

Onze site heeft momenteel (nog) geen https verbinding, de verbinding is per definitie dus (nog) niet beveiligd.

3.

Niet van toepassing.

4.

Zie vraag no. 1.

5-7.

In de loop van 2017, zal de FANC website door FEDICT gehost worden en worden de nodige maatregelen voorzien door FEDICT.

6.

Er wordt geen SSL-3 gebruikt op de FANC- en Telerad website.

Regie der Gebouwen

1.

Alle informaticaspecialisten zijn het erover eens dat een nulrisico niet bestaat. Het is dus een illusie te denken dat er geen enkel risico verbonden zou zijn aan een website. Informaticaveiligheid is juist bedoeld om de verschillende risico’s te evalueren en te beheersen, teneinde de grootste risico’s aan te pakken. Naast haar externe website, staat de Regie der Gebouwen ook in voor een klein aantal beperkt toegankelijke websites (die gedeeld worden met klanten en met sommige partnerbedrijven die meewerken aan het beheer van de overheidsgebouwen). Die websites zijn beveiligd via diverse methoden, onder andere door middel van gebruikerstoegangbeheer en door middel van bepaalde mechanismen voor anomaliedetectie.

2.

Wanneer er openbare hotspots in het spel zijn, vormen “man-in-the-middle-aanvallen” een reëel gevaar dat niet onderschat mag worden. Het systematische gebruik van beveiligde verbindingen is een van de eerste ingestelde maatregelen om diefstal van klantengegevens te vermijden.

3.

We kunnen niet spreken voor alle federale websites, maar we hebben wijzigingen doorgevoerd wat betreft de gebruikte types van verbindingsbeveiliging. Daarbij zijn we afgestapt van SSL-versies waarvan geweten is dat ze zwakheden vertonen (SSLv2 en v3 enz.)

4.

www.buildingsagency.be hydra.buildingsagency.be eis.buildingsagency.be archibus.buildingsagency.be webmail.buildingsagency.be

5.

Bovenstaande websites worden gehost in de lokalen van de Regie der gebouwen en dus niet bij Fedict. De genomen maatregelen staan dus volledig los van de acties van Fedict.

6.

Onveilige SSL-versies werden uitgeschakeld in de reverse proxy van de Regie zodat ze niet langer kunnen worden gebruikt voor onze websites die toegankelijk zijn via het internet.

7.

Zie de antwoorden op bovenstaande vragen.