Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 6-1638

de Martine Taelman (Open Vld) du 9 novembre 2017

au vice-premier ministre et ministre de la Sécurité et de l'Intérieur, chargé de la Régie des bâtiments

Cybercriminalité - E-mail spoofing (usurpation d'adresse électronique) - Autorité - Services de sécurité - Prévention

pouvoirs publics
criminalité informatique
courrier électronique
site internet
administration publique
faux en écriture

Chronologie

9/11/2017Envoi question (Fin du délai de réponse: 14/12/2017)
9/12/2018Dossier clôturé

Aussi posée à : question écrite 6-1639
Aussi posée à : question écrite 6-1640

Question n° 6-1638 du 9 novembre 2017 : (Question posée en néerlandais)

La plateforme néerlandaise d'investigation Follow The Money a annoncé le 23 octobre 2017 que plusieurs sites des pouvoirs publics, dont www.tweedekamer.nl et celui de la Sûreté de l'État néerlandaise, n'étaient pas bien protégés et que les courriels qui étaient envoyés au départ de ces sites étaient faciles à falsifier. Après la publication de cette nouvelle, la Seconde Chambre des Pays-Bas a pris des mesures pour remédier aux plus importantes faiblesses en matière de sécurité mais il s'avère que de nombreuses autres adresses sont également utilisées de façon abusive: celles du Service général de renseignement et de sécurité (AIVD), celles de ministères et même celles d'entreprises du secteur de l'énergie.

Quoi qu'il en soit, le ministère de la Défense prend des mesures pour éviter que des personnes malintentionnées puissent fabriquer des adresses électroniques dont l'apparence laisse à penser qu'elle proviennent d'un ministère. Il existe plusieurs systèmes techniques permettant de lutter contre les mails trompeurs (e-mail spoofing). Le Centre national de cybersécurité (NCSC) des pouvoirs publics les a répertoriés il y a deux ans, mais toutes les autorités n'ont pas suivi les avis des experts.

Selon le NCSC, il n'est pas nécessaire de disposer de connaissances techniques approfondies pour escroquer quelqu'un de cette manière. Le danger est que le destinataire pense qu'il reçoit un e-mail d'une organisation fiable et qu'il aura dès lors tendance à cliquer sur des liens ou à partager des données.

Quant au caractère transversal de la question : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de Sécurité intégrale et dans le Plan national de sécurité pour la période 2016-2019 et ont fait l'objet d'un débat lors d'une Conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. La cybercriminalité est une des priorités transversales.

J'aimerais dès lors vous poser les questions suivantes :

1) Que pensez-vous de la menace que représente la possibilité d'envoyer des faux mails au départ de différents pouvoirs publics dont le site web n'est pas sécurisé ? Quelles actions ont-elles déjà été entreprises ou seront-elles entreprises à cet égard ?

2) Pouvez-vous me dire si, et le cas échéant combien de fois, des faux mails ont été envoyés par des autorités publiques via des sites mal sécurisés, au cours des trois dernières années ?

3) Le Centre pour la Cybersécurité Belgique récemment créé, ou d'autres autorités publiques disposent-elles d'un relevé des techniques permettant de lutter contre ces mails trompeurs (e-mail spoofing), et dans l'affirmative, où peut-on le retrouver ? Dans la négative, pourquoi, et n'est-il pas indiqué de le mettre rapidement à disposition ? Pouvez-vous expliquer votre réponse ?

4) Pouvez-vous me dire si tous les sites relevant de l'autorité fédérale, en particulier ceux des services de sécurité, ont mis sur pied au moins un système empêchant l'envoi de faux courriels au départ de ces autorités publiques ? Pouvez-vous préciser votre réponse ? Des faux courriels ont-ils déjà été envoyés au nom des services de police, de la Justice ou de la Sûreté de l'État ? Le cas échéant, pouvez-vous expliquer votre réponse ?