SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2017-2018 Zitting 2017-2018
________________
9 novembre 2017 9 november 2017
________________
Question écrite n° 6-1638 Schriftelijke vraag nr. 6-1638

de Martine Taelman (Open Vld)

van Martine Taelman (Open Vld)

au vice-premier ministre et ministre de la Sécurité et de l'Intérieur, chargé de la Régie des bâtiments

aan de vice-eersteminister en minister van Veiligheid en Binnenlandse Zaken, belast met de Regie der gebouwen
________________
Cybercriminalité - E-mail spoofing (usurpation d'adresse électronique) - Autorité - Services de sécurité - Prévention Cybercrime - E-mail spoofing - Overheid - Veiligheidsdiensten - Preventie 
________________
pouvoirs publics
criminalité informatique
courrier électronique
site internet
administration publique
faux en écriture
overheid
computercriminaliteit
elektronische post
internetsite
overheidsadministratie
valsheid in geschrifte
________ ________
9/11/2017 Verzending vraag
(Einde van de antwoordtermijn: 14/12/2017 )
9/12/2018 Dossier gesloten
9/11/2017 Verzending vraag
(Einde van de antwoordtermijn: 14/12/2017 )
9/12/2018 Dossier gesloten
________ ________
Ook gesteld aan : schriftelijke vraag 6-1639
Ook gesteld aan : schriftelijke vraag 6-1640
Ook gesteld aan : schriftelijke vraag 6-1639
Ook gesteld aan : schriftelijke vraag 6-1640
________ ________
Question n° 6-1638 du 9 novembre 2017 : (Question posée en néerlandais) Vraag nr. 6-1638 d.d. 9 november 2017 : (Vraag gesteld in het Nederlands)

La plateforme néerlandaise d'investigation Follow The Money a annoncé le 23 octobre 2017 que plusieurs sites des pouvoirs publics, dont www.tweedekamer.nl et celui de la Sûreté de l'État néerlandaise, n'étaient pas bien protégés et que les courriels qui étaient envoyés au départ de ces sites étaient faciles à falsifier. Après la publication de cette nouvelle, la Seconde Chambre des Pays-Bas a pris des mesures pour remédier aux plus importantes faiblesses en matière de sécurité mais il s'avère que de nombreuses autres adresses sont également utilisées de façon abusive: celles du Service général de renseignement et de sécurité (AIVD), celles de ministères et même celles d'entreprises du secteur de l'énergie.

Quoi qu'il en soit, le ministère de la Défense prend des mesures pour éviter que des personnes malintentionnées puissent fabriquer des adresses électroniques dont l'apparence laisse à penser qu'elle proviennent d'un ministère. Il existe plusieurs systèmes techniques permettant de lutter contre les mails trompeurs (e-mail spoofing). Le Centre national de cybersécurité (NCSC) des pouvoirs publics les a répertoriés il y a deux ans, mais toutes les autorités n'ont pas suivi les avis des experts.

Selon le NCSC, il n'est pas nécessaire de disposer de connaissances techniques approfondies pour escroquer quelqu'un de cette manière. Le danger est que le destinataire pense qu'il reçoit un e-mail d'une organisation fiable et qu'il aura dès lors tendance à cliquer sur des liens ou à partager des données.

Quant au caractère transversal de la question : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de Sécurité intégrale et dans le Plan national de sécurité pour la période 2016-2019 et ont fait l'objet d'un débat lors d'une Conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. La cybercriminalité est une des priorités transversales.

J'aimerais dès lors vous poser les questions suivantes :

1) Que pensez-vous de la menace que représente la possibilité d'envoyer des faux mails au départ de différents pouvoirs publics dont le site web n'est pas sécurisé ? Quelles actions ont-elles déjà été entreprises ou seront-elles entreprises à cet égard ?

2) Pouvez-vous me dire si, et le cas échéant combien de fois, des faux mails ont été envoyés par des autorités publiques via des sites mal sécurisés, au cours des trois dernières années ?

3) Le Centre pour la Cybersécurité Belgique récemment créé, ou d'autres autorités publiques disposent-elles d'un relevé des techniques permettant de lutter contre ces mails trompeurs (e-mail spoofing), et dans l'affirmative, où peut-on le retrouver ? Dans la négative, pourquoi, et n'est-il pas indiqué de le mettre rapidement à disposition ? Pouvez-vous expliquer votre réponse ?

4) Pouvez-vous me dire si tous les sites relevant de l'autorité fédérale, en particulier ceux des services de sécurité, ont mis sur pied au moins un système empêchant l'envoi de faux courriels au départ de ces autorités publiques ? Pouvez-vous préciser votre réponse ? Des faux courriels ont-ils déjà été envoyés au nom des services de police, de la Justice ou de la Sûreté de l'État ? Le cas échéant, pouvez-vous expliquer votre réponse ?

 

Het Nederlandse Onderzoeksplatform Follow the Money maakte op 23 oktober 2017 bekend dat de beveiliging van diverse overheidssites waaronder de www.tweedekamer.nl en de Nederlandse Staatsveiligheid niet goed is en dat de e-mails die daarvandaan worden verstuurd gemakkelijk te vervalsen zijn. Na de publicatie van dit bericht nam de Tweede Kamer maatregelen om de grootste kwetsbaarheden in de beveiliging te verhelpen, maar ook veel andere adressen blijken te misbruiken : van de Nederlandse Algemene Inlichtingen- en Veiligheidsdienst (AIVD) tot ministeries en zelfs energiebedrijven.

Het ministerie van Defensie neemt in ieder geval maatregelen om te voorkomen dat kwaadwillenden e-mailadressen kunnen aanmaken die eruitzien alsof ze van het ministerie zijn. Er bestaan meerdere technische systemen om dergelijke fopmail (e-mail spoofing) tegen te gaan. Het Nationaal Cyber Security Centrum (NCSC) van de overheid heeft die twee jaar geleden op een rij gezet, maar lang niet alle overheden hebben de adviezen van de experts opgevolgd.

Volgens de NCSC is geen diepgaande technische kennis nodig om iemand op deze manier op te lichten. Het gevaar schuilt erin dat de ontvanger denkt dat hij een e-mail krijgt van een betrouwbare organisatie en daarom bijvoorbeeld eerder op links zal klikken of gegevens zal delen.

Wat het transversale karakter van de vraag betreft: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die zijn opgenomen in de kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2016-2019 en werden besproken tijdens een Interministeriële Conferentie, waar ook de politionele en justitiële spelers aanwezig waren. Cybercrime is één van de transversale prioriteiten.

Graag had ik u dan ook volgende vragen voorgelegd :

1) Hoe reageert u op de dreiging die uitgaat van de mogelijkheid om nepmails te sturen vanuit diverse overheidsinstanties wier website niet beveiligd is ? Welke acties werden hieromtrent reeds concreet ondernomen of zullen worden ondernomen ?

2) Kunt u meedelen of, en zo ja, hoeveel maal er de laatste drie jaar nepmails vanwege overheidsinstanties via slecht beveiligde overheidssites werden verzonden ?

3) Bestaat er bij de recent opgerichte Cyber Security Operations Center of andere overheidsinstanties een overzicht van de technieken om dergelijke fopmail (e-mail spoofing) tegen te gaan, en zo ja, waar is die terug te vinden ? Zo neen, waarom niet en is het niet aangewezen om deze snel ter beschikking te stellen ? Kunt u dit toelichten ?

4) Kunt u meedelen of al de sites die uitgaan vanwege de federale overheid, en dan in het bijzonder de veiligheidsdiensten, minstens één systeem hebben geïmplementeerd om het versturen van nepmails vanuit deze overheidsinstanties tegen te gaan ? Kunt u dit toelichten ? Waren er reeds nepmails in omloop vanwege de politiediensten, Justitie of de Veiligheid van de Staat ? Kunt u dit desgevallend toelichten ?