SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2016-2017 Zitting 2016-2017
________________
15 décembre 2016 15 december 2016
________________
Question écrite n° 6-1191 Schriftelijke vraag nr. 6-1191

de Jean-Jacques De Gucht (Open Vld)

van Jean-Jacques De Gucht (Open Vld)

à la secrétaire d'État à la Lutte contre la pauvreté, à l'Égalité des chances, aux Personnes handicapées, et à la Politique scientifique, chargée des Grandes Villes, adjointe au Ministre des Finances

aan de staatssecretaris voor Armoedebestrijding, Gelijke Kansen, Personen met een beperking, en Wetenschapsbeleid, belast met Grote Steden, toegevoegd aan de Minister van Financiën
________________
Sites internet des pouvoirs publics - Sécurité des communications - Fuites - Amélioration de la sécurité - Mesures Overheidswebsites - Veilige communicatie - Lekken - Verbetering van de veiligheid - Maatregelen 
________________
Internet
criminalité informatique
protection des données
Pays-Bas
ministère
administration publique
site internet
internet
computercriminaliteit
gegevensbescherming
Nederland
ministerie
overheidsadministratie
internetsite
________ ________
15/12/2016 Verzending vraag
(Einde van de antwoordtermijn: 19/1/2017 )
18/1/2017 Antwoord
15/12/2016 Verzending vraag
(Einde van de antwoordtermijn: 19/1/2017 )
18/1/2017 Antwoord
________ ________
Aussi posée à : question écrite 6-1176
Aussi posée à : question écrite 6-1177
Aussi posée à : question écrite 6-1178
Aussi posée à : question écrite 6-1179
Aussi posée à : question écrite 6-1180
Aussi posée à : question écrite 6-1181
Aussi posée à : question écrite 6-1182
Aussi posée à : question écrite 6-1183
Aussi posée à : question écrite 6-1184
Aussi posée à : question écrite 6-1185
Aussi posée à : question écrite 6-1186
Aussi posée à : question écrite 6-1187
Aussi posée à : question écrite 6-1188
Aussi posée à : question écrite 6-1189
Aussi posée à : question écrite 6-1190
Aussi posée à : question écrite 6-1192
Aussi posée à : question écrite 6-1193
Aussi posée à : question écrite 6-1176
Aussi posée à : question écrite 6-1177
Aussi posée à : question écrite 6-1178
Aussi posée à : question écrite 6-1179
Aussi posée à : question écrite 6-1180
Aussi posée à : question écrite 6-1181
Aussi posée à : question écrite 6-1182
Aussi posée à : question écrite 6-1183
Aussi posée à : question écrite 6-1184
Aussi posée à : question écrite 6-1185
Aussi posée à : question écrite 6-1186
Aussi posée à : question écrite 6-1187
Aussi posée à : question écrite 6-1188
Aussi posée à : question écrite 6-1189
Aussi posée à : question écrite 6-1190
Aussi posée à : question écrite 6-1192
Aussi posée à : question écrite 6-1193
________ ________
Question n° 6-1191 du 15 décembre 2016 : (Question posée en néerlandais) Vraag nr. 6-1191 d.d. 15 december 2016 : (Vraag gesteld in het Nederlands)

Les connexions vers de nombreux sites internet des pouvoirs publics néerlandais ne sont pas bien sécurisées. C'est ce qui ressort de l'étude réalisée par l'Open State Foundation, une organisation non lucrative qui « veut augmenter la transparence en politique ». On peut reconnaître une connexion sécurisée au petit cadenas qui apparaît dans le moteur de recherche.

L'organisation a examiné 1.816 sites internet des pouvoirs publics ; seuls 44 % d'entre eux ont des connexions sécurisées. 6 % ont effectivement une connexion sécurisée mais ne l'ont pas bien configurée, ce qui laisse la porte ouverte à des piratages.

La connexion vers le site internet de la Rijksrecherche n'est pas sécurisée. Cette section de la police néerlandaise mène des enquêtes sur les manquements commis par des fonctionnaires publics, notamment des collaborateurs de police. Jusqu'à la fin du mois de novembre 2016, quiconque dénonçait un manquement sur le site de la Rijksrecherche courait toutefois le risque que son message soit lu par d'autres personnes. Cela pouvait par exemple se faire par des bornes wifi publiques, comme dans le train, dans un hôtel ou dans un restaurant : la connexion était alors facile à intercepter.

Après que le site d'information néerlandais NOS a signalé la chose, le formulaire de dénonciation a été enlevé du site. Un porte-parole a fait savoir qu'il n'était temporairement plus possible de signaler des abus. Les citoyens qui ont des informations à communiquer peuvent encore téléphoner. On examine si des mesures de suivi sont nécessaires.

Même la page d'accueil du site internet de l'administration fiscale n'a pas de connexion sécurisée. L'accès au site de l'administration fiscale est bien sécurisé mais comme la page d'accueil ne l'est pas, un hacker peut forcer une connexion non sécurisée. Cela peut par exemple se faire en créant une fausse borne wifi dans une gare ou un autre endroit très fréquenté.

Ironie de la situation : la connexion du site officiel qui est censé promouvoir une administration consciente des dangers d'internet, n'est pas bien sécurisée.

L'étude concernait les pages d'accueil des sites internet publics ; il est possible que certaines parties des sites soient mieux sécurisées. Les experts en sécurité informatique conseillent toutefois de prévoir une connexion sécurisée pour l'ensemble du site internet. On peut reconnaître les sites non sécurisés à l'absence de cadenas dans le moteur de recherche.

De même, certains sites internet d'ambassades néerlandaises dans des pays où les droits fondamentaux de l'homme sont violés, ne sont pas sécurisés avec une connexion https en bon état de marche.

Une étude menée antérieurement sur les sites des pouvoirs publics dans notre pays a révélé des défauts similaires. Fedict, le service public fédéral Technologie de l'Information et de la Communication, a réagi en indiquant qu'il allait exécuter plus rapidement les mesures prévues pour améliorer le cryptage SSL.

Quant au caractère transversal de la question : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité pour la période 2016-2019 et ont fait l'objet d'un débat lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. La criminalité informatique est l'une des grandes priorités établies. Cette question concerne dès lors une compétence régionale transversale, les Régions intervenant surtout dans le volet préventif.

C'est pourquoi je souhaite vous poser les questions suivantes :

1) N'y a-t-il aucun risque de sécurité pour les sites internet des services publics fédéraux relevant de vos compétences ainsi que pour vos propres sites ? Pouvez-vous dresser la liste des sites dont vous avez la responsabilité ?

2) N'y a-t-il aucun risque, lorsque des utilisateurs se connectent via des bornes wifi, que l'on puisse lire les messages échangés avec des sites de services publics dont vous avez la responsabilité ? Pouvez-vous détailler votre réponse ?

3) Est-il vrai que parmi les sites internet des services publics qui utilisent effectivement une connexion https, il y en a encore un certain nombre qui sont configurés de telle sorte qu'ils présentent également un risque de sécurité ?

4) Pouvez-vous énumérer les sites officiels relevant spécifiquement de vos compétences en y incluant les sites des services publics fédéraux relevant de vos compétences et les sites des services extérieurs ?

5) Les mesures annoncées par le passé pour améliorer le cryptage SSL ont-elles effectivement été réalisées par Fedict sur tous les sites relevant de vos compétences ? Pouvez-vous fournir des explications concrètes à ce sujet ?

6) Pouvez-vous garantir qu'aucun des sites relevant de vos compétences ne travaille plus avec SSL-3 ? Le cas échéant, pouvez-vous expliquer votre réponse ?

7) Pouvez-vous énumérer concrètement les mesures qui ont déjà été prises depuis que l'étude réalisée sur les sites des services publics belges a mis en lumière certains défauts, en vue de sécuriser la connexion avec les sites internet des services publics ?

 

De verbindingen naar veel Nederlandse overheidswebsites zijn niet goed beveiligd. Dat blijkt uit onderzoek van de Open State Foundation, een non-profitorganisatie die « transparantie in de politiek wil vergroten ». Een beveiligde verbinding is te herkennen aan een slotje in de browser.

De organisatie onderzocht 1 816 overheidswebsites ; slechts 44 % daarvan ondersteunt beveiligde verbindingen. Nog eens 6 % heeft wel een beveiligde verbinding, maar heeft hem niet goed ingesteld, waardoor aanvallers alsnog een kans hebben.

Onder meer de verbinding naar de website van de Rijksrecherche is onbeveiligd. Die politie-organisatie doet onderzoek naar misdragingen door overheidsfunctionarissen, waaronder politiemedewerkers. Wie een misstand melde op de site van de Rijksrecherche, liep tot woensdagavond echter het risico dat anderen meelazen. Dat kon bijvoorbeeld bij openbare wifi-hotspots, zoals in de trein, in een hotel of restaurant : de verbinding was dan eenvoudig te onderscheppen.

Na melding van de NOS is dat formulier verwijderd van de site. « Het is tijdelijk niet meer mogelijk om misstanden te melden », laat een woordvoerder weten. Burgers met tips kunnen nog wel bellen. Er wordt onderzocht of « vervolgmaatregelen » nodig zijn.

Ook de voorpagina van de website van de Belastingdienst heeft geen beveiligde verbinding. Het inloggen op de Belastingdienst-site is wel beveiligd, maar doordat de voorpagina dat niet is, kan een hacker een onveilige verbinding afdwingen. Dat kan bijvoorbeeld door een valse wifi-hotspot op te zetten op een station of een andere drukke plek.

Ironisch genoeg is ook de verbinding van de overheidssite die is bedoeld om een « internetbewuste overheid » te promoten niet goed beveiligd.

Het onderzoek betrof de voorpagina's van de overheidssites ; het is mogelijk dat bepaalde onderdelen van de websites beter zijn beveiligd. Beveiligingsexperts raden echter aan om sowieso de volledige website van een veilige verbinding te voorzien. De onbeveiligde sites zijn te herkennen aan het ontbreken van een slotje in de browser.

Ook zijn er een aantal websites van Nederlandse ambassades in landen waar bassale mensenrechten worden geschonden die niet beveiligd zijn met een goed functionerende https-verbinding.

Eerder onderzoek naar de overheidssites in ons land toonde gelijkaardige zwakheden aan. In een reactie stelde Fedict, de federale overheidsdienst Informatie- en Communicatietechnologie, dat het reeds geplande maatregelen om de SSL-encryptie te verbeteren nu versneld zal uitvoeren.

Wat betreft transversaal karakter van de vraag : de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2016–2019, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Eén van de vastgelegde prioriteiten is de informaticacriminaliteit. Het betreft aldus een transversale gewestaangelegenheid waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Daarom heb ik volgende vragen voor u :

1) Zijn er geen veiligheidsrisico's voor de websites van de federale overheidsdiensten waarvoor u bevoegd bent, alsook uw eigen sites ? Kunt u de sites waarvoor u instaat oplijsten ?

2) Is er geen risico dat, bij het inloggen van gebruikers via wifi-hotspots, dat de communicatie met de overheidssites waarvoor u instaat kan worden ingelezen ? Kan u dit toelichten ?

3) Is het waar dat van de overheidswebsites die wel een https-verbinding gebruiken er ook nog een aantal websites zijn die zodanig zijn ingesteld dat er ook daar een beveiligingsrisico bestaat ?

4) Kunt u oplijsten voor welke overheidssites u specifiek bevoegd bent en dit inclusief de sites van de federale overheidsdiensten waarvoor u bevoegd bent en de sites van de buitendiensten ?

5) Werden de eerder aangekondigde maatregelen om de SSL-encryptie te verbeteren daadwerkelijk doorgevoerd door Fedict op alle sites waarvoor u bevoegd bent ? Kunt u dit concreet toelichten ?

6) Kunt u garanderen dat geen enkele site waarvoor u bevoegd bent nog werkt met SSL-3 ? Kunt u dit desgevallend toelichten ?

7) Kunt u concreet oplijsten welke maatregelen reeds zijn genomen sinds het onderzoek naar de Belgische overheidssites enkele zwakheden oplijstte om aldus een veilige verbinding met overheidswebsites tot stand te brengen ?

 
Réponse reçue le 18 janvier 2017 : Antwoord ontvangen op 18 januari 2017 :

A) DG Personnes handicapées (DG-Han)

En ce qui concerne le DG-Han, la réponse sera donnée par la ministre de la Santé et des Affaires sociales, Maggie De Block (cf. question écrite n° 6-1182).

B) Institut pour l’égalité des femmes et des hommes

L’IEFH n’a pas de sites Internet pour compte propre. Pour plus d’informations veuillez vous adresser au FEDICT.

C) Service public de programmation (SPP) Intégration sociale

1) Mon administration, le SPP Intégration sociale, gère actuellement un seul site web, dans le domaine mi-is.be, à l’adresse www.mi-is.be.

Depuis plusieurs années, et certainement dans sa dernière version actuellement en ligne, ce site est protégé par une connexion encryptée de type HTTPS.

Plus précisément, cette connexion sécurisée utilise un algorithme d’encryptage SHA-2 (sha256) d’un très haut degré de sécurité (abandon de SHA-1 cette année).

Par ailleurs, le site web du SPP Intégration sociale est hébergé sur une plateforme technologique gérée par FEDICT et les sous-traitants qu’il désigne, tant pour l’infrastructure technologique que pour la maintenance applicative.

Fast2web est la solution Fedict pour la création de sites web basés sur Drupal. Ceci comprend d’une part l’hébergement, le support aux rédacteurs et la plate-forme et d’autre part, des fonctionnalités CMS, Search et statistiques.

Le site du SPP Intégration sociale bénéficie donc de toutes les mesures de sécurité contre les intrusions ou les attaques DOS prises par les services fédéraux pour protéger la plateforme Fast2web et répond aux critères avancés de sécurité défendus par FEDICT.

2) Profiter d’un wifi non protégé (type hotspot) pour capter une communication entre un utilisateur et le site web est impossible en raison de l’encryptage de la connexion HTTPS (voir ci-dessus).

Par ailleurs, les possibilités d’envoi d’informations d’un utilisateur vers le site web du SPP Intégration sociale sont actuellement très limitées, aucune donnée à caractère personnelle n’étant échangée par ce moyen.

3) La connexion HTTPS du site du SPP Intégration sociale repose sur un encryptage de classe SHA-2 (voir ci-dessus) qui offre actuellement le plus haut degré de sécurité pour le type de transaction utilisé sur son site.

4) Le SPP Intégration sociale n’a pour le moment la gestion que d’un seul site : www.mi-is.be.

5) Le site du SPP Intégration sociale étant hébergé par FEDICT sur sa plateforme que partagent d’autres sites fédéraux dans le cadre de Fast2web (voir ci-dessus), la gestion de la sécurité des sites hébergés sur cette plateforme fait l’objet d’adaptations continues par les sous-traitants désignés par le SPF.

6) La connexion au site www.mi-is.be n’utilise pas le protocole SSL 3 mais bien un protocole supérieur (TLS 1.2).

7) FEDICT qui est l’hébergeur et fournisseur de services Internet du SPP Intégration sociale a renforcé et renforce de manière continue la sécurité de la connexion au site web du SPP Intégration sociale. Récemment encore par exemple, des adaptations ont été réalisées pour améliorer la sécurité du réseau FEDMAN et de tous les systèmes qui l’utilisent, contre notamment les attaques DOS (Denial Of Service) qui en 2016 ont bloqués les sites fédéraux pendant quelques heures.

D) Service public de programmation Politique scientifique (BELSPO)

1) Nos principaux sites sont les suivants :

www.belspo.be + sous-sites ;

http://www.stis.belspo.be ;

http://eurofed.stis.belspo.be.

Ces sites sont protégés par un firewall de dernière génération avec protection contre l’intrusion et inspection des paquets de communication via un proxy.

Les parties de ces sites contenant des informations sensibles et confidentielles sont accessibles par login en mode encrypté HTTPS avec un certificat de Digicert.

2) Pour les parties de site accédées par HTTP et contenant des informations publiques, il serait en effet possible de lire l’information mais cela ne constitue pas vraiment un risque.

3) Le risque zéro n’existe pas en ce domaine. L’accès possible par une ancienne version de SSL pourrait notamment entraver la sécurité.

4) Nous n’avons pas de sites hébergés à l’extérieur ni de sites non gérés par Belspo.

5) L’accès via les anciennes versions de SSL (v2 & 3) a été désactivé.

6) Nos serveurs web ne sont plus accessibles par le protocole SSL-3.

7) Nous utilisons des connexions HTTPS avec certificat pour les sites accédés par user password et contenant des informations sensibles ou confidentielles.

Les mots de passe doivent répondre à des critères de complexité.

Plusieurs essais infructueux provoquent le blocage du login.

L’accès à nos serveurs web est protégé par un firewall de dernière génération avec protection contre l’intrusion et inspection des paquets de communication.

E) Archives de l'État en Belgique (AEB) / Centre d'études Guerre et Société (CEGESOMA)

1) Aucun site ne peut prétendre de ne courir aucun risque. Comme les données à caractère personnel ne sont accessibles que sur l'intranet, les Archives de l’État doivent essentiellement se préserver contre la perte ou la modification de données accessibles sur l’Internet dues à un acte délibéré. À cette fin, les Archives de l’État font un backup régulier des données produites numériquement.

Liste des sites dont les Archives de l’État sont en charge :

www.arch.be ;

14-18-wallonie.arch.be ;

biblio.arch.be ;

demogen.arch.be ;

extranet.arch.be ;

firewall.arch.be ;

ftp.arch.be ;

goaaal.arch.be ;

isil.arch.be ;

register.arch.be ;

search.arch.be ;

st-vither-zeitungen.arch.be ;

visu.arch.be ;

webrepro.arch.be ;

webshop.arch.be ;

www.pauvresdenous.arch.be ;

www.breekbaarverleden.be ;

www.expocongo.be ;

www.archives-democratie.be.

Le CEGESOMA, intégré depuis le 1er janvier 2016 aux Archives de l’État, gère toujours ses propres sites Internet :

www.cegesoma.be ;

pallas.cegesoma.be ;

warpress.cegesoma.be ;

www.journalbelgianhistory.be ;

newsletter.cegesoma.be ;

opac.cegesoma.be ;

historikerdialog.eu ;

bejust.be.

Il n’y a pas de risques sécuritaires (connus) pour les sites Internet du CEGESOMA.

2) Les communications entre particuliers et les sites des Archives de l’État ne contiennent aucune information qui puisse être considérée comme sensible. Seul le site webrepro.arch.be est susceptible de contenir des données plus personnelles. En d’autres mots : nos sites ne sont pas sécurisés contre l’éventualité que la communication puisse être interceptée lors d’une connexion via une borne wifi, mais les données en question peuvent de toute façon être consultées par quiconque sur nos sites Internet.

Les sites internet du CEGESOMA ne prévoient pas de connexion autre que celle pour administrer le site. Le seul site ou les utilisateurs peuvent saisir des données personnelles (nom, adresse e-mail) est opac.cegesoma.be : cette connexion est réalisée via un HTTPS-sécurisé.

3) Les Archives de l’État n’ont pas de sites publics HTTPS sur l’Internet, mais uniquement des sites HTTP.

Nous disposons en outre :

de deux serveurs VPN pour le télétravail du personnel ;

une passerelle informatique permettant à un nombre limité de personnes de télécharger leurs courriels vers leurs tablettes.

Le cryptage minimal requis est TLS 1.0 donc plus élevé que SSL-3. En matière de cryptage, il nous semble que ceci est suffisamment state of the art.

Toutes les connexions HTTPS gérées par le CEGESOMA utilisent également des techniques très sûres comme TLS.

4) Tant pour les Archives de l’État que pour le CEGESOMA : voir la liste sous le point 1).

5) Ni les Archives de l’État ni le CEGESOMA ne sont en contact avec Fedict en ce qui concerne l’implémentation des mesures annoncées pour améliorer le cryptage SSL.

6) En ce qui concerne les Archives de l’État, voir la réponse à la question 3).

Pour le CEGESOMA : SSLv2 et SSLv3 sont désactivés sur tous les sites Internet.

7) Les Archives de l’État ne sont pas vraiment au courant de l’enquête sur les sites des pouvoirs publics belges dont il est question sous le point 7).

Dans le passé, les mesures suivantes ont été prises pour sécuriser les sites Internet des Archives de l’État :

a) l’accès aux interfaces d’administration de nos sites Internet est bloqué lors d’une connexion via Internet ; elles sont uniquement accessibles via une adresse IP interne ;

b) lors de l’apparition de « heartbleed » (https://fr.wikipedia.org/wiki/Heartbleed) nous avons procédé le plus vite possible à une mise à niveau (upgrade) des sites mentionnés sous 3) ;

c) un « gotschka» a été rajouté à la fonctionnalité « Signaler un problème ou poser une question » sur le site http://search.arch.be ;

d) la séparation entre « DMZ » et « LAN » dans la configuration du réseau a été vérifiée et corrigée si nécessaire ;

e) le cryptage a été activé sur les tablettes des directeurs ;

Mesures additionnelles prévues pour 2017 :

f) nous prévoyons l’achat d’un nouveau pare-feu informatique avec des possibilités plus poussées en matière de rapportage et de configuration (« layer-7’-firewall ») ;

g) nous réexaminerons aussi notre stratégie (voir ci-dessus), notamment pour webrepro.arch.be.

Le CEGESOMA a déjà équipé quelques sites Internet d’une connexion HTTPS.

A) DG-Personen met een handicap (DG-Han)

Het antwoord voor DG-Han zal gegeven worden door de minister van Volksgezondheid en Sociale Zaken, Maggie De Block (cf. schriftelijke vraag nr. 6-1182).

B) Instituut voor de gelijkheid van vrouwen en mannen

Het IGVM heeft geen websites in eigen beheer. Voor meer informatie hieromtrent dient U zich te wenden tot FEDict.

C) Programmatorische overheidsdienst (POD) Maatschappelijke Integratie

1) Mijn administratie, de POD Maatschappelijke Integratie, beheert momenteel slechts één website, in het domein mi-is.be, op het adres www.mi-is.be.

Deze website wordt al meerdere jaren, en vooral in de laatste versie die momenteel online is, beschermd door een versleutelde verbinding van het type HTTPS.

Deze beveiligde verbinding maakt meer bepaald gebruik van een versleutelingsalgoritme SHA-2 (sha256) met een zeer hoog veiligheidsniveau (SHA-1 werd dit jaar afgevoerd).

Bovendien wordt de website van de POD Maatschappelijke Integratie gehost op een technologisch platform dat beheerd wordt door FEDICT en de onderaannemers die hij aanduidt, zowel voor de technologische infrastructuur als voor het onderhoud van de applicatie :

Fast2web is de oplossing van Fedict voor de creatie van op Drupal gebaseerde websites. Dit omvat enerzijds de hosting, de ondersteuning van de redacteurs en het platform, en anderzijds de CMS-, Search- en statistische functies.

De website van de POD Maatschappelijke Integratie geniet dus van alle beveiligingsmaatregelen genomen door de federale diensten tegen indringing of DOS-aanvallen om het platform Fast2web te beschermen, en beantwoordt aan de geavanceerde veiligheidscriteria verdedigd door FEDICT.

2) Profiteren van een niet-beveiligde wifi (van het type hotspot) om een communicatie te onderscheppen tussen een gebruiker en de website is onmogelijk door de versleuteling van de HTTPS-verbinding (zie boven).

Bovendien zijn de mogelijkheden voor het verzenden van informatie naar de website van de POD Maatschappelijke Integratie momenteel zeer beperkt. Er worden geen persoonsgegevens uitgewisseld via dit middel.

3) De HTTPS-verbinding van de website van de POD Maatschappelijke Integratie steunt op een versleuteling van klasse SHA-2 (zie boven) die momenteel het hoogste veiligheidsniveau biedt voor het type van transactie dat op de website wordt gebruikt.

4) De POD Maatschappelijke Integratie beheert momenteel slechts één website : www.mi-is.be.

5) Omdat de website van de POD Maatschappelijke Integratie gehost wordt door FEDICT op zijn platform dat gedeeld wordt met andere federale websites in het kader van Fast2web (zie boven), maakt het beheer van de veiligheid van de websites gehost op dit platform, het voorwerp uit van voortdurende wijzigingen door de onderaannemers aangeduid door de FOD.

6) De verbinding met de website www.mi-is.be maakt geen gebruik van het SSL3-protocol, maar van het betere TLS 1.2- protocol.

7) FEDICT, de host en Internetprovider van de POD Maatschappelijke Integratie, heeft de veiligheid van de verbinding met de website van de POD Maatschappelijke Integratie versterkt en blijft die voortdurend versterken. Recent nog werden er wijzigingen doorgevoerd ter verbetering van de veiligheid van het FEDMAN-netwerk en van alle systemen die daar gebruik van maken, met name tegen DOS-aanvallen (Denial Of Service) die de federale websites in 2016 gedurende enkele uren hebben geblokkeerd.

D) Programmatorische overheidsdienst (POD) Wetenschapsbeleid (BELSPO)

1) De belangrijkste sites die wij beheren zijn :

www.belspo.be + subsites ;

http://www.stis.belspo.be ;

http://eurofed.stis.belspo.be.

Die sites zijn beveiligd dankzij een firewall van de laatste generatie die bescherming biedt tegen hacking en DPI (Deep Packet Inspection) via een proxyserver biedt.

De toegang tot die sitegedeeltes met gevoelige en vertrouwelijke gegevens gebeurt via een beveiligde HTTPS-verbinding waarvan het certificaat door Digicert is verleend.

2) Voor de sitegedeeltes met publieke gegevens die via een HTTP-verbinding toegankelijk zijn, zou het immers mogelijk zijn die gegevens te zien. Hier zijn echter geen grote risico's aan verbonden.

3) Het nulrisico op dat gebied bestaat niet. Toegang via een oude SSL-versie kan de veiligheid in het gedrang brengen.

4) Wij hebben geen elders gehuisveste sites, noch sites die niet door BELSPO worden beheerd.

5) De toegang via oude SSL-versies (v2 & 3) werd gedesactiveerd.

6) Onze webservers zijn niet langer toegankelijk via het protocol SSL-3.

7) Wij maken gebruik van gecertificeerde HTTPS-verbindingen voor sites met gevoelige of vertrouwelijke informatie die toegankelijk zijn met een gebruikersnaam / paswoord.

De paswoorden moeten aan bepaalde complexiteitscriteria voldoen.

Na verschillende vruchteloze loginpogingen wordt de toegang tot de site geblokkeerd.

Onze webservers zijn beveiligd door een firewall van de laatste generatie die bescherming biedt tegen hacking en DPI (Deep Packet Inspection) biedt.

E) Algemeen Rijksarchief van België (ARA) / Studie- en Documentatiecentrum Oorlog en Hedendaagse Maatschappij (CEGESOMA)

1) Voor geen enkele website kan worden beweerd dat er totaal geen risico’s bestaan. Aangezien enkel via het intranet toegang mogelijk is tot de privacygevoelige gegevens moet het Rijksarchief vooral zorgen dat de gegevens die kunnen worden geraadpleegd via de website (Internet) niet moedwillig kunnen verwijderd of gewijzigd worden. Het Rijksarchief maakt dan ook regelmatig een backup van de digitale gegevens.

Lijst van de websites waarvoor het Rijksarchief instaat :

– www.arch.be ;

– 14-18-wallonie.arch.be ;

– biblio.arch.be ;

– demogen.arch.be ;

– extranet.arch.be ;

– firewall.arch.be ;

– ftp.arch.be ;

– goaaal.arch.be ;

– isil.arch.be ;

– register.arch.be ;

– search.arch.be ;

– st-vither-zeitungen.arch.be ;

– visu.arch.be ;

– webrepro.arch.be ;

– webshop.arch.be ;

– www.pauvresdenous.arch.be ;

– www.breekbaarverleden.be ;

– www.expocongo.be ;

– www.archief-democratie.be.

Ook CEGESOMA, sinds 1 januari 2016 geïntegreerd bij het Rijksarchief, beheert nog zijn eigen websites :

– www.cegesoma.be ;

– pallas.cegesoma.be ;

– warpress.cegesoma.be ;

– www.journalbelgianhistory.be ;

– newsletter.cegesoma.be ;

– opac.cegesoma.be ;

– historikerdialog.eu ;

– bejust.be.

Er zijn geen (gekende) veiligheidsrisico's voor de CEGESOMA websites.

2) In de communicatie tussen particulieren en de websites van het Rijksarchief wordt geen informatie uitgewisseld die als gevoelig kan worden beschouwd. Enkel de website webrepro.arch.be kan mogelijk meer persoonsgebonden gegevens bevatten. Anders gezegd : onze sites zijn niet beveiligd tegen de mogelijkheid dat bij het inloggen van gebruikers via wifi-hotspots, de communicatie met de overheidssites kan worden ingelezen, maar de gegevens die kunnen worden onderschept, kunnen ook door éénieder zelf op onze sites opgezocht worden.

Op de websites van CEGESOMA is geen inlogmogelijkheid voorzien, anders dan deze om de website te beheren. De enige website waar gebruikers persoonlijke informatie (naam, e-mailadres) op kunnen invullen is opac.cegesoma.be. Dit gebeurt enkel via een beveiligde HTTPS-verbinding.

3) Het Rijksarchief heeft geen publieke HTTPS-sites op het Internet; enkel HTTP-sites.

Daarnaast hebben we :

– twee VPN-servers voor gebruik door ons personeel tijdens thuiswerk ;

– een gateway waarlangs een beperkt aantal personen mails kan opladen naar hun tablet.

Deze vereisen minimaal TLS 1.0 voor encryptie ; dus hoger dan SSL-3. Dit lijkt ons, qua encryptie, voldoende state of the art.

Ook alle HTTPS-verbindingen beheerd door CEGESOMA maken gebruik van veilige technieken, zoals TLS.

4) Zowel voor het Rijksarchief als CEGESOMA: zie lijst onder vraag 1).

5) Noch het Rijksarchief noch CEGESOMA zijn in contact met Fedict waar het de implementatie van de aangekondigde maatregelen om de SSL-encryptie te verbeteren betreft.

6) Wat het Rijksarchief betreft, verwijzen we hier naar het antwoord op vraag 3).

Wat CEGESOMA betreft : SSLv2 en SSLv3 zijn uitgeschakeld op alle websites.

7) Het onderzoek naar de Belgische overheidssites waarover sprake in vraag 7) is het Rijksarchief niet meteen bekend.

Volgende maatregelen werden in het verleden genomen ter beveiliging van de Internetsites van het Rijksarchief :

a) de toegankelijkheid van de beheerinterfaces van onze websites wordt afgesloten indien geconnecteerd via het Internet; deze zijn enkel toegankelijk vanaf een intern IP-adres ;

b) bij het uitbreken van « heartbleed » (https://nl.wikipedia.org/wiki/Heartbleed) hebben wij onze sites, vermeld onder 3), zo snel mogelijk geüpgraded ;

c) een « gotschka » werd toegevoegd aan de « Een vraag of een probleem melden »-functionaliteit van http://search.arch.be ;

d) de scheiding tussen « DMZ » en « LAN » in de netwerk-configuratie werd gecontroleerd en waar nodig gecorrigeerd ;

e) encryptie werd geactiveerd op de tablets van de directeurs ;

Bijkomende maatregelen voorzien voor 2017 :

f) we plannen de aankoop van een nieuwe firewall met zowel meer rapporteringsmogelijkheden alsook meer fijnmazige configuratiemogelijkheden (een zogenaamde « layer-7’-firewall ») ;

g) we zullen ook onze hoger beschreven strategie herbekijken, in het bijzonder voor webrepro.arch.be.

CEGESOMA voorzag reeds een aantal websites van een HTTPS-verbinding.