Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 4-930

de Martine Taelman (Open Vld) du 7 mai 2008

au vice-premier ministre et ministre de l'Intérieur

Criminalité informatique - Dommage - Rôle des pouvoirs publics

criminalité informatique
protection des données
piratage informatique
virus informatique
police
statistique officielle
poursuite judiciaire

Chronologie

7/5/2008Envoi question (Fin du délai de réponse: 5/6/2008)
4/7/2008Réponse

Aussi posée à : question écrite 4-931
Requalification de : demande d'explications 4-267

Question n° 4-930 du 7 mai 2008 : (Question posée en néerlandais)

La criminalité informatique est, depuis des années, un problème mondial. Le plan national de sécurité confirme aussi à juste titre que ce phénomène mérite un traitement prioritaire. Il s’avère que pas moins de 85% du nombre de courriels envoyés sont des spams. Le phishing est de plus en plus fréquent. Il permet d’obtenir illégalement des données personnelles en envoyant un courriel contenant un lien vers un site web qui semble officiel mais qui, en réalité, est faux. Le pharming se développe également. Il permet d’apporter de petits changements illégaux à une adresse de site web. Les virus, surtout les chevaux de Troie, se développent aussi de manière spectaculaire. Voici deux ans, on dénombrait un quart de million de virus et autres logiciels malveillants (malware) ; l’année dernière, les spécialistes informatiques ont vu ce nombre doubler. En Belgique, un quart des utulisateurs auraient déjà été confrontés à des virus. C’est devenu un véritable business de former un botnet par le biais d’un réseau d’ordinateurs infectés de malware pour envoyer massivement des spams et pirater ainsi des ordinateurs dans le but de subtiliser des mots de passe et des données bancaires. Et le pire est encore à venir : de plus en plus de transactions sont effectuées par GSM. Les spécialistes craignent que comme les lecteurs MP-3, I-pods, lecteurs DVD et clés USB, cet appareil ne soit pas épargné par les infections de virus.

D’où mes questions :

1. La Computer Crime Unit (CCU) de la police fédérale a dénombré en 2600 28 434 cas de criminalité par internet. Combien y en a-t-il eu en 2007 ? Le ministre dispose-t-il de données chiffrées par catégories de méfaits (phishing, spam, intrusion, men in the middle…) ?

2. Le préjudice a été estimé en 2006 à 625 millions d’euros. À combien s’est-il élevé en 2007 ? Le ministre peut-il également donner une ventilation des chiffres par catégories d’attaques ?

3. Combien de procès-verbaux relatifs à la criminalité informatique ont-il été établis en 2007 ? Combien de ces affaires ont-elles effectivement été poursuivies par le parquet ? Peut-il fournir une ventilation de ces données par arrondissement judiciaire ? Estime-t-il qu’un important « dark number » de personnes ne signalent pas leur cas ?

4. Dans combien de cas retrouve-t-on effectivement l’argent ? En effet, les cybercriminels envoient très rapidement l’argent acquis illégalement vers d’autres pays où la justice peut difficilement le saisir.

5. Comment l’effectif du personnel du FCCU a-t-il évolué ces dernières années ? Des personnes supplémentaires ont-elles été engagées parce que les dangers ont augmenté ?

6. Estime-t-il qu’un organe central est nécessaire pour les menaces relatives à la criminalité informatique organisée, et ce pour protéger les réseaux TIC dans notre pays ?

7. Estime-t-il que certains PC ont besoin d’une protection supplémentaire de nos services publics, et ce parce que les botnets veulent aussi se livrer à du piratage ?

8. Les procureurs généraux ont-ils déjà publié une circulaire concernant le phénomène de la criminalité informatique ?

9. Estimez-vous qu’une cellule d’expertise doit être établie à cet effet par le Collège des procureurs généraux ?

Réponse reçue le 4 juillet 2008 :

L'honorable membre trouvera ci-dessous réponse à ses questions.

1. La police publie annuellement des rapports et des statistiques de criminalité relatifs à différents phénomènes criminels. En ce moment, la police est pleinement occupée à la publication des rapports sur les activités policières de l'année 2007.

Les chiffres de 2007 concernant la criminalité informatique, les informations sur le fonctionnement des divers services qui ont à faire à cette forme de criminalité et les propositions pour contrer des futures menaces seront rendus publics dans le courant du mois de juin 2008.

2. L'estimation de 625 millions d'euros de dégâts était basée sur le traitement statistique des informations issues de sources diverses. Cette estimation n'est donc basée que pour une part limitée sur les informations de la Banque nationale générale de données (BNG). Une répartition par catégorie est par conséquent impossible.

3. Ces chiffres relatifs aux procès-verbaux dressés pour criminalité informatique ne sont pas encore disponibles.

C'est le ministre de la Justice qui est compétent pour la diffusion des chiffres concernant les poursuites par arrondissement (question écrite nº 4-931).

Il est apparu d'un questionnaire adressé en 2005 à des entreprises belges par « Clusib » (Club de la sécurité informatique belge) que la communication d'incidents ICT ayant une origine criminelle probable à la police et à la justice n'avait lieu que dans 5 % des cas. À l'heure actuelle, aucun autre indicateur ne permet de déterminer le véritable « dark number ». En ce qui concerne le « dark number » auprès des particuliers, aucune information n'est disponible.

4. Il n'y a pour l'instant aucun chiffre disponible à ce sujet.

5. En 2006, les besoins en personnel du CCU ont été analysés et cette étude de capacité a été soumise au gouvernement. L'étude a montré la nécessité d'augmenter les effectifs (FCCU au niveau central et les RCCU au niveau des arrondissements) de 156 membres du personnel au cours de la période 2007-2011, pour parvenir fin 2011 à un effectif de 293 membres du personnel, dont 64 pour le FCCU et 229 pour les RCCU.

Le précédent gouvernement a accordé, pour l'année 2007, une augmentation de l'effectif CCU de 44 membres du personnel. \f^de ces places n'ont pas encore pu être remplies.

6. L'analyse réalisée par le Belgian Network Information Security (BeNIS), une plate-forme de concertation composée de tous les services publics fédéraux qui ont une quelconque compétence en cette matière, a fait apparaître la nécessité impérieuse de créer un « CERT » (Computer Emergency Response Team).

Le BeNIS propose de créer ce service au sein de l'IBPT. Le gouvernement a pris connaissance de cette proposition et a demandé d'en calculer concrètement l'impact budgétaire afin de pouvoir prendre une décision.

7. D'après divers dossiers de criminalité informatique, il semble qu'une part importante de cette criminalité est due à l'ignorance ou à la négligence des utilisateurs finaux. Les PC de beaucoup de particuliers (mais aussi de certaines entreprises) sont infectés par des « chevaux de Troie ». Il s'agit de programmes pernicieux qui permettent aux hackers de prendre le contrôle du PC. Ainsi, des données sont non seulement volées, mais le PC infecté est aussi utilisé pour attaquer d'autres systèmes informatiques.

Il est donc certainement essentiel d'élever le niveau de sécurisation pour les utilisateurs finaux.

La détermination des mesures permettant d'augmenter cette sécurité est principalement du ressort de l'IBPT. À cet effet, d'autres propositions seront également élaborées au sein du groupe de travail BeNIS « Protection des infrastructures ICT critiques ».

8. Il s'agit de la circulaire COL 1/2002 du 14 février 2002.

9. Le 21 février 2008, le Collège a marqué son accord avec la désignation d'un magistrat de référence en matière de criminalité informatisée.