SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2016-2017 Zitting 2016-2017
________________
15 décembre 2016 15 december 2016
________________
Question écrite n° 6-1181 Schriftelijke vraag nr. 6-1181

de Jean-Jacques De Gucht (Open Vld)

van Jean-Jacques De Gucht (Open Vld)

au ministre de la Justice

aan de minister van Justitie
________________
Sites internet des pouvoirs publics - Sécurité des communications - Fuites - Amélioration de la sécurité - Mesures Overheidswebsites - Veilige communicatie - Lekken - Verbetering van de veiligheid - Maatregelen 
________________
Internet
criminalité informatique
protection des données
Pays-Bas
ministère
administration publique
site internet
internet
computercriminaliteit
gegevensbescherming
Nederland
ministerie
overheidsadministratie
internetsite
________ ________
15/12/2016 Verzending vraag
(Einde van de antwoordtermijn: 19/1/2017 )
16/11/2017 Antwoord
15/12/2016 Verzending vraag
(Einde van de antwoordtermijn: 19/1/2017 )
16/11/2017 Antwoord
________ ________
Aussi posée à : question écrite 6-1176
Aussi posée à : question écrite 6-1177
Aussi posée à : question écrite 6-1178
Aussi posée à : question écrite 6-1179
Aussi posée à : question écrite 6-1180
Aussi posée à : question écrite 6-1182
Aussi posée à : question écrite 6-1183
Aussi posée à : question écrite 6-1184
Aussi posée à : question écrite 6-1185
Aussi posée à : question écrite 6-1186
Aussi posée à : question écrite 6-1187
Aussi posée à : question écrite 6-1188
Aussi posée à : question écrite 6-1189
Aussi posée à : question écrite 6-1190
Aussi posée à : question écrite 6-1191
Aussi posée à : question écrite 6-1192
Aussi posée à : question écrite 6-1193
Aussi posée à : question écrite 6-1176
Aussi posée à : question écrite 6-1177
Aussi posée à : question écrite 6-1178
Aussi posée à : question écrite 6-1179
Aussi posée à : question écrite 6-1180
Aussi posée à : question écrite 6-1182
Aussi posée à : question écrite 6-1183
Aussi posée à : question écrite 6-1184
Aussi posée à : question écrite 6-1185
Aussi posée à : question écrite 6-1186
Aussi posée à : question écrite 6-1187
Aussi posée à : question écrite 6-1188
Aussi posée à : question écrite 6-1189
Aussi posée à : question écrite 6-1190
Aussi posée à : question écrite 6-1191
Aussi posée à : question écrite 6-1192
Aussi posée à : question écrite 6-1193
________ ________
Question n° 6-1181 du 15 décembre 2016 : (Question posée en néerlandais) Vraag nr. 6-1181 d.d. 15 december 2016 : (Vraag gesteld in het Nederlands)

Les connexions vers de nombreux sites internet des pouvoirs publics néerlandais ne sont pas bien sécurisées. C'est ce qui ressort de l'étude réalisée par l'Open State Foundation, une organisation non lucrative qui « veut augmenter la transparence en politique ». On peut reconnaître une connexion sécurisée au petit cadenas qui apparaît dans le moteur de recherche.

L'organisation a examiné 1.816 sites internet des pouvoirs publics ; seuls 44 % d'entre eux ont des connexions sécurisées. 6 % ont effectivement une connexion sécurisée mais ne l'ont pas bien configurée, ce qui laisse la porte ouverte à des piratages.

La connexion vers le site internet de la Rijksrecherche n'est pas sécurisée. Cette section de la police néerlandaise mène des enquêtes sur les manquements commis par des fonctionnaires publics, notamment des collaborateurs de police. Jusqu'à la fin du mois de novembre 2016, quiconque dénonçait un manquement sur le site de la Rijksrecherche courait toutefois le risque que son message soit lu par d'autres personnes. Cela pouvait par exemple se faire par des bornes wifi publiques, comme dans le train, dans un hôtel ou dans un restaurant : la connexion était alors facile à intercepter.

Après que le site d'information néerlandais NOS a signalé la chose, le formulaire de dénonciation a été enlevé du site. Un porte-parole a fait savoir qu'il n'était temporairement plus possible de signaler des abus. Les citoyens qui ont des informations à communiquer peuvent encore téléphoner. On examine si des mesures de suivi sont nécessaires.

Même la page d'accueil du site internet de l'administration fiscale n'a pas de connexion sécurisée. L'accès au site de l'administration fiscale est bien sécurisé mais comme la page d'accueil ne l'est pas, un hacker peut forcer une connexion non sécurisée. Cela peut par exemple se faire en créant une fausse borne wifi dans une gare ou un autre endroit très fréquenté.

Ironie de la situation : la connexion du site officiel qui est censé promouvoir une administration consciente des dangers d'internet, n'est pas bien sécurisée.

L'étude concernait les pages d'accueil des sites internet publics ; il est possible que certaines parties des sites soient mieux sécurisées. Les experts en sécurité informatique conseillent toutefois de prévoir une connexion sécurisée pour l'ensemble du site internet. On peut reconnaître les sites non sécurisés à l'absence de cadenas dans le moteur de recherche.

De même, certains sites internet d'ambassades néerlandaises dans des pays où les droits fondamentaux de l'homme sont violés, ne sont pas sécurisés avec une connexion https en bon état de marche.

Une étude menée antérieurement sur les sites des pouvoirs publics dans notre pays a révélé des défauts similaires. Fedict, le service public fédéral Technologie de l'Information et de la Communication, a réagi en indiquant qu'il allait exécuter plus rapidement les mesures prévues pour améliorer le cryptage SSL.

Quant au caractère transversal de la question : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité pour la période 2016-2019 et ont fait l'objet d'un débat lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. La criminalité informatique est l'une des grandes priorités établies. Cette question concerne dès lors une compétence régionale transversale, les Régions intervenant surtout dans le volet préventif.

C'est pourquoi je souhaite vous poser les questions suivantes :

1) N'y a-t-il aucun risque de sécurité pour les sites internet des services publics fédéraux relevant de vos compétences ainsi que pour vos propres sites ? Pouvez-vous dresser la liste des sites dont vous avez la responsabilité ?

2) N'y a-t-il aucun risque, lorsque des utilisateurs se connectent via des bornes wifi, que l'on puisse lire les messages échangés avec des sites de services publics dont vous avez la responsabilité ? Pouvez-vous détailler votre réponse ?

3) Est-il vrai que parmi les sites internet des services publics qui utilisent effectivement une connexion https, il y en a encore un certain nombre qui sont configurés de telle sorte qu'ils présentent également un risque de sécurité ?

4) Pouvez-vous énumérer les sites officiels relevant spécifiquement de vos compétences en y incluant les sites des services publics fédéraux relevant de vos compétences et les sites des services extérieurs ?

5) Les mesures annoncées par le passé pour améliorer le cryptage SSL ont-elles effectivement été réalisées par Fedict sur tous les sites relevant de vos compétences ? Pouvez-vous fournir des explications concrètes à ce sujet ?

6) Pouvez-vous garantir qu'aucun des sites relevant de vos compétences ne travaille plus avec SSL-3 ? Le cas échéant, pouvez-vous expliquer votre réponse ?

7) Pouvez-vous énumérer concrètement les mesures qui ont déjà été prises depuis que l'étude réalisée sur les sites des services publics belges a mis en lumière certains défauts, en vue de sécuriser la connexion avec les sites internet des services publics ?

 

De verbindingen naar veel Nederlandse overheidswebsites zijn niet goed beveiligd. Dat blijkt uit onderzoek van de Open State Foundation, een non-profitorganisatie die « transparantie in de politiek wil vergroten ». Een beveiligde verbinding is te herkennen aan een slotje in de browser.

De organisatie onderzocht 1 816 overheidswebsites ; slechts 44 % daarvan ondersteunt beveiligde verbindingen. Nog eens 6 % heeft wel een beveiligde verbinding, maar heeft hem niet goed ingesteld, waardoor aanvallers alsnog een kans hebben.

Onder meer de verbinding naar de website van de Rijksrecherche is onbeveiligd. Die politie-organisatie doet onderzoek naar misdragingen door overheidsfunctionarissen, waaronder politiemedewerkers. Wie een misstand melde op de site van de Rijksrecherche, liep tot woensdagavond echter het risico dat anderen meelazen. Dat kon bijvoorbeeld bij openbare wifi-hotspots, zoals in de trein, in een hotel of restaurant : de verbinding was dan eenvoudig te onderscheppen.

Na melding van de NOS is dat formulier verwijderd van de site. « Het is tijdelijk niet meer mogelijk om misstanden te melden », laat een woordvoerder weten. Burgers met tips kunnen nog wel bellen. Er wordt onderzocht of « vervolgmaatregelen » nodig zijn.

Ook de voorpagina van de website van de Belastingdienst heeft geen beveiligde verbinding. Het inloggen op de Belastingdienst-site is wel beveiligd, maar doordat de voorpagina dat niet is, kan een hacker een onveilige verbinding afdwingen. Dat kan bijvoorbeeld door een valse wifi-hotspot op te zetten op een station of een andere drukke plek.

Ironisch genoeg is ook de verbinding van de overheidssite die is bedoeld om een « internetbewuste overheid » te promoten niet goed beveiligd.

Het onderzoek betrof de voorpagina's van de overheidssites ; het is mogelijk dat bepaalde onderdelen van de websites beter zijn beveiligd. Beveiligingsexperts raden echter aan om sowieso de volledige website van een veilige verbinding te voorzien. De onbeveiligde sites zijn te herkennen aan het ontbreken van een slotje in de browser.

Ook zijn er een aantal websites van Nederlandse ambassades in landen waar bassale mensenrechten worden geschonden die niet beveiligd zijn met een goed functionerende https-verbinding.

Eerder onderzoek naar de overheidssites in ons land toonde gelijkaardige zwakheden aan. In een reactie stelde Fedict, de federale overheidsdienst Informatie- en Communicatietechnologie, dat het reeds geplande maatregelen om de SSL-encryptie te verbeteren nu versneld zal uitvoeren.

Wat betreft transversaal karakter van de vraag : de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2016–2019, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Eén van de vastgelegde prioriteiten is de informaticacriminaliteit. Het betreft aldus een transversale gewestaangelegenheid waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Daarom heb ik volgende vragen voor u :

1) Zijn er geen veiligheidsrisico's voor de websites van de federale overheidsdiensten waarvoor u bevoegd bent, alsook uw eigen sites ? Kunt u de sites waarvoor u instaat oplijsten ?

2) Is er geen risico dat, bij het inloggen van gebruikers via wifi-hotspots, dat de communicatie met de overheidssites waarvoor u instaat kan worden ingelezen ? Kan u dit toelichten ?

3) Is het waar dat van de overheidswebsites die wel een https-verbinding gebruiken er ook nog een aantal websites zijn die zodanig zijn ingesteld dat er ook daar een beveiligingsrisico bestaat ?

4) Kunt u oplijsten voor welke overheidssites u specifiek bevoegd bent en dit inclusief de sites van de federale overheidsdiensten waarvoor u bevoegd bent en de sites van de buitendiensten ?

5) Werden de eerder aangekondigde maatregelen om de SSL-encryptie te verbeteren daadwerkelijk doorgevoerd door Fedict op alle sites waarvoor u bevoegd bent ? Kunt u dit concreet toelichten ?

6) Kunt u garanderen dat geen enkele site waarvoor u bevoegd bent nog werkt met SSL-3 ? Kunt u dit desgevallend toelichten ?

7) Kunt u concreet oplijsten welke maatregelen reeds zijn genomen sinds het onderzoek naar de Belgische overheidssites enkele zwakheden oplijstte om aldus een veilige verbinding met overheidswebsites tot stand te brengen ?

 
Réponse reçue le 16 novembre 2017 : Antwoord ontvangen op 16 november 2017 :

1) Les sites pour lesquels le service ICT Infrastructure - réseaux est compétent sont sécurisés dans le cadre d’un contrat de services. Les sites proposés par ce service lui-même sont Direct Access (solution VPN de Microsoft) et Activesync (pour le courrier électronique). Ces serveurs sont également sécurisés à l’aide d’un pare-feu et d’une détection d’intrusion.

2) Lorsque vous vous connectez aux points d'accès Wi-Fi de la Justice, une distinction est faite entre le trafic interne et le trafic externe, qui sont complètement distincts. Le trafic externe est verrouillé par le biais d’un tunnel. Seuls les utilisateurs internes peuvent accéder au réseau interne par le biais d’une procédure de connexion.

3) Aucun site internet n’est connu au sein du service ICT du SPF Justice pour lequel il existe ce type de risque de sécurité.

4) Le service ICT Infrastructure - réseaux est compétent pour le suivi des sites proposés au public : il s’agit des sites du SPF Justice, du Moniteur belge, de l’Institut national de criminalistique et de criminologie (l’INCC) et de la Direction générale des Etablissements pénitentiaires (EPI).

5) Le service ICT Infrastructure – réseaux n’a pas connaissance de la moindre intervention de Fedict pour notre SPF.

6) Le partenaire externe (Proximus) a confirmé que tout a été transposé en TLS pour les sites qu’il gère. En interne également, les paramètres de navigation nécessaires ont été adaptés à cet effet.

7) Les mesures qui ont été prises ne sont pas communiquées publiquement, ce afin d'éviter que la publication des risques et vulnérabilités ne facilite le piratage de l'infrastructure.

L’administration organise régulièrement des tests d’intrusion afin de détecter ce type de vulnérabilités et d’y remédier si nécessaire.

1) De sites waar de dienst ICT Infrastructuur-netwerken voor bevoegd is, zijn beveiligd in het kader van een service-contract. De sites die deze dienst zelf aanbiedt, zijn Direct-access (Microsoft VPN oplossing) en Activesync (mail). Deze servers worden beveiligd door een Firewall en intrusie-detectie.

2) Bij het inloggen in de Wifi-hotspots van Justitie wordt er een onderscheid gemaakt tussen intern en extern verkeer, dat volledig gescheiden verloopt. Het externe verkeer verloopt via een versleutelde tunnel. Enkel interne gebruikers krijgen toegang tot het internet netwerk via een aanlogprocedure.

3) Er zijn geen websites bekend bij de dienst ICT van de FOD Justitie waar een dergelijk veiligheidsrisico bestaat.

4) De dienst ICT Infrastructuur-netwerken is bevoegd voor de opvolging van de websites die publiek worden aangeboden: dit zijn websites van de FOD Justitie, het Belgisch staatsblad, het Nationaal Instituut voor Criminalistiek en Criminologie (NICC) en het Directoraat Generaal Penitentiaire Inrichtingen (EPI) .

5) De dienst ICT Infrastructuur-netwerken heeft geen weet van enige tussenkomst voor de FOD Justitie door Fedict.

6) De externe partner (Proximus) heeft bevestigd dat, voor wat zij beheren, alles is omgezet naar TLS. Ook intern werden hiervoor de nodige browser-instellingen aangepast.

7) De genomen maatregelen worden niet in het openbaar meegedeeld. Dit om te vermijden dat de publicatie van de risico’s en kwetsbaarheden, het hacken van de infrastructuur zou vergemakkelijken.

De administratie organiseert regelmatig pentesten om dergelijke kwetsbaarheden te detecteren en zo nodig te remediëren.