Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 7-1601

de Rik Daems (Open Vld) du 5 mai 2022

à la ministre de l'Intérieur, des Réformes institutionnelles et du Renouveau démocratique

Citrix - Grave vulnérabilité - Risques en matière de sécurité - Piratage - Serveurs et ordinateurs - Entreprises - Services publics et de sécurité - Protection - Directives - Mesures

sécurité des systèmes d'information
guerre de l'information
criminalité informatique
logiciel

Chronologie

5/5/2022Envoi question (Fin du délai de réponse: 9/6/2022)
9/6/2022Réponse

Aussi posée à : question écrite 7-1600
Aussi posée à : question écrite 7-1602

Question n° 7-1601 du 5 mai 2022 : (Question posée en néerlandais)

Le 17 décembre 2019, l'entreprise Citrix a divulgué une vulnérabilité dans ses logiciels et a pris des mesures temporaires pour limiter les risques. Avant même que les dizaines de milliers d'organisations utilisant Citrix se rendent compte du danger pressant et installent des mesures provisoires, des pitates s'étaient introduits dans les systèmes (voir https://www.onderzoeksraad.nl/nl/page/19862/fundamenteel ingrijpen is nodig voor nederlandse digitale veiligheid).

Il s'agissait d'une vulnérabilité très grave des solutions serveurs «Citrix ADC» et «Citrix Gateway», anciennement connue sous le nom de «Citrix Netscaler». Sur une échelle de 1 à 10, cette vulnérabilité a été notée à 9,8 en termes de gravité (voir https://www.ncsc.nl/actueel/nieuws/2020/januari/13/vele nederlandse citrix servers kwetsbaar voor aanvallen). Elle représenterait un risque potentiel pour les réseaux de 80 000 entreprises établies dans 158 pays. Les États-Unis sont en tête du top 5 des pays comptant le plus d'organisations concernées, suivis par le Royaume-Uni, l'Allemagne, les Pays-Bas et l'Australie.

En exploitant la vulnérabilité critique, les pirates peuvent avoir accès, via internet, au réseau local d'une entreprise sans avoir besoin de compte ni d'authentification, selon la société Positive Technologies spécialisée dans l'expertise de sécurité numérique. Ils peuvent ainsi exécuter du code arbitraire (voir https://tweakers.net/nieuws/161500/citrix kwetsbaarheid vormt risico voor netwerken van 80000 bedrijven.html).

Positive Technologies déclare que les applications Citrix sont largement répandues dans les réseaux d'entreprises. Elles sont utilisées notamment pour permettre aux collaborateurs d'accéder via internet aux applications internes de l'entreprise. Non seulement la vulnérabilité permet à une personne non autorisée d'accéder aux applications publiées, mais elle expose aussi d'autres sources du réseau interne de l'entreprise via le serveur Citrix.

Entre-temps, Citrix a mis à disposition une version actualisée censée résoudre ces problèmes de sécurité (voir https://www.security.nl/posting/729529/Citrix+verhelpt+kritieke+dos kwetsbaarheid+in+ADC+en+Gateway). La question est de savoir dans quelle mesure tant les entreprises que les organisations ont déjà implémenté cette version actualisée, faute de quoi leurs réseaux demeurent extrêmement vulnérables.

Quant au caractère transversal de la présente question écrite: les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité pour la période 2016-2019 et ont fait l'objet d'un débat lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Cette question concerne dès lors une compétence régionale transversale, les Régions intervenant surtout dans le volet préventif.

Je souhaiterais dès lors vous poser les questions suivantes:

1) Êtes-vous conscient(e) du problème de sécurité potentiel qui est lié aux logiciels de la marque Citrix? Si oui, des mesures ont-elles déjà été prises pour y remédier?

2) Les solutions du fabricant en question sont-elles utilisées dans nos services publics et de sécurité? Si oui, combien d'ordinateurs, de serveurs et de comptes en font usage?

3) Y a-t-il déjà des directives concernant le remplacement ou l'actualisation de ces logiciels qui se révèlent soudainement dangereux? Quelles instructions reçoit-on? A-t-on déjà entrepris quelque chose à cet égard et, si oui, quel est le montant des coûts?

4) A-t-on déjà reçu des plaintes de particuliers ou de services qui utilisent ces logiciels? Si oui, combien au cours des trois dernières années? A-t-on déjà signalé des cas de piratage d'ordinateurs et d'intrusion sur des serveurs, ordinateurs et autres utilisant les logiciels Citrix, précisément à cause des faiblesses que présentent les systèmes sans la mise à jour de sécurité? Si oui, combien et où?

5) Êtes-vous disposé(e) à agir rapidement, eu égard au risque pour de nombreuses institutions? Si oui, quelles mesures seront prises? Si non, comment empêchez-vous que l'utilisation de ces logiciels n'entraîne un problème de sécurité?

Réponse reçue le 9 juin 2022 :

1) Cette question parlementaire ne relève pas de mes compétences mais de la compétence du premier ministre dont dépend le Centre for Cyber Security Belgium (CCB).

2), 3) & 5) La police fédérale n’utilise pas les services de Citrix.

4) La Banque de données nationale générale (BNG) est une base de données policières dans laquelle sont enregistrés les faits sur base de procès-verbaux résultant des missions de police judiciaire et administrative. Elle permet de réaliser des comptages sur différentes variables statistiques telles que le nombre de faits enregistrés, les modus operandi, les objets utilisés lors de l’infraction, les moyens de transport utilisés, les destinations de lieu, etc.

Cependant, en raison de la spécificité des questions, il n'est pas possible de fournir une réponse à celles-ci sur la base des informations disponibles dans la BNG.