|
|
Défense - Applications de messagerie instantanée - Utilisation - Risques pour la sécurité - Piratage - Acteurs étatiques - Chiffres et tendances - Interdiction éventuelle - Autres mesures
télécommunication sans fil
courrier électronique
sécurité des systèmes d'information
armée
statistique officielle
médias sociaux
sécurité publique
| 2/6/2022 | Envoi question (Fin du délai de réponse: 7/7/2022) |
| 19/7/2022 | Réponse |
Aussi posée à : question écrite 7-1669
L'armée suisse et l'armée britannique déconseillent à leurs militaires de continuer à communiquer au moyen de la célèbre application WhatsApp.
L'armée britannique a interdit l'utilisation de WhatsApp car elle craint que la Russie ne pirate la plateforme pour obtenir des informations sensibles sur le plan opérationnel. Tous les membres du personnel, des officiers supérieurs aux soldats en formation, doivent cesser d'utiliser l'application à des fins professionnelles, faute de quoi ils s'exposent à des sanctions. Dans un document du ministère britannique de la Défense qui confirme l'interdiction, on peut lire que l'utilisation de WhatsApp présente «des risques sérieux pour la sécurité» (cf. https://www.dailymail.co.uk/news/article 10633873/British soldiers ordered WhatsApp hacking fears.html).
L'interdiction avec effet immédiat fait suite à un communiqué du Daily Mail affirmant que la Russie a utilisé des données téléphoniques mobiles de Britanniques pour choisir les cibles de ses attaques aériennes en Ukraine.
L'armée suisse a, elle aussi, annoncé mettre fin à l'utilisation de services de messagerie instantanée étrangers tels que WhatsApp, Signal et Telegram pour les communications officielles. Pour les remplacer, elle a choisi une application suisse, en partie parce qu'elle est préoccupée par la législation de Washington qui régit la manière dont les autorités américaines peuvent accéder à des informations détenues par des entreprises du secteur technologique (cf. https://apnews.com/article/technology business europe army instant messaging d3c7c8fd54a78e8cc17fe930014d92d2).
Le courrier initial indiquait qu'aucun autre service de messagerie ne serait autorisé pour les dirigeants militaires, mais un porte-parole a ensuite paru déforcer quelque peu le décret et l'a présenté comme une «recommandation» (cf. https://www.theverge.com/2022/1/7/22871881/swiss army whatsapp messaging threema privacy concerns us jurisdiction).
Les services de renseignement, parmi lesquels les services britanniques et américains, avaient annoncé précédemment être parvenus à intercepter des discussions sur WhatsApp et à localiser les émetteurs des messages. On estime qu'il est très probable que la Russie dispose elle aussi de cette capacité.
En ce qui concerne le caractère transversal de la question écrite : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui devront être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la note-cadre de sécurité intégrale et dans le Plan national de sécurité 2022-2025 et ont été discutés lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Il s'agit donc d'une matière transversale qui relève également des Régions, le rôle de ces dernières se situant surtout dans le domaine de la prévention.
Je voudrais donc vous poser les questions suivantes.
1) Dans quelle mesure l'utilisation d'applications de messagerie instantanée telles que Signal, Telegram, WhatsApp, etc. est-elle autorisée dans les services de la Défense ? Le cas échéant, pouvez-vous estimer le nombre de personnes qui font usage de telles applications à la Défense ? Des restrictions sont-elles imposées en la matière ? L'état-major général emploie-t-il de telles applications ? Les applications peuvent-elles être utilisées à des fins professionnelles ? Si l'utilisation de ces applications est interdite, peuvent-elles être utilisées à des fins privées ? Si oui, des restrictions sont-elles imposées ?
2) De telles applications ont-elles déjà été utilisées par le passé lors de missions sur le terrain ? Si oui, était-ce risqué, selon vous ? La Défense donne-t-elle des instructions spécifiques pour l'utilisation d'applications de messagerie instantanée ? Si oui, pourriez-vous expliquer brièvement la position de la Défense quant à l'utilisation de telles applications ?
3) Suivez-vous le même raisonnement que les autorités suisses et britanniques qui considèrent que l'utilisation de telles applications peut être dangereuse, voire préjudiciable ? Si oui, pourquoi l'emploi de telles applications n'est-il alors pas encore interdit à la Défense ? Si non, comment peut-on, selon vous, réduire le risque à un minimum ?
4) Nos services de sécurité et de renseignement ont-ils déjà indiqué que l'utilisation de telles applications, et en particulier de WhatsApp, présente un risque important pour la sécurité ? Si oui, combien de mises en garde ont-ils déjà lancées, quelle en était la teneur et quelle suite leur a-t-on donnée ? Certaines applications précises ont-elles été citées ? Si oui, lesquelles ?
5) A-t-on déjà eu connaissance de cas de piratage d'applications de messagerie instantanée utilisées par la Défense ou d'autres services de sécurité ? Si oui, quel était leur nombre et en quelle année cela s'est-il produit ? A-t-on pu identifier les responsables de ces attaques ? Quels dommages a-t-on subis ? De quel type de données les pirates ont-ils pu s'emparer ? Quelles en furent les conséquences ?
6) Au cours des trois dernières années, quels efforts la Défense a-t-elle fournis pour accroître la sécurité de son réseau de communication ? En quoi les adaptations ont-elles consisté, quel a été leur coût et quels sont les effets espérés ? D'autres améliorations sont-elles encore en préparation ? Si oui, pourriez-vous en donner des exemples ?
L’honorable membre est prié de trouver ci-après la réponse à ses questions.
1) Les applications de messagerie instantanée sont utilisées dans le monde entier de façon quotidienne. Une distinction doit être faite entre l’utilisation professionnelle et privée de ces applications.
Pour un usage professionnel quotidien, la Défense propose «Skype for Business» comme solution de messagerie instantanée, qui sera remplacée prochainement par «Microsoft Teams».
Au niveau national, l’application «Threema» est régulièrement utilisée pour la coordination entre les services de l’État, par exemple dans le cadre des incidents Cyber.
L’usage à titre privé de plateformes de messagerie instantanée n’est pas interdit au sein de la Défense. Néanmoins, la diffusion d’informations classifiées sur de telles applications est évidemment strictement interdite car l’intégrité du contenu transmis ne peut pas être entièrement garantie. Il n’est pas possible de donner une estimation du nombre de personnes travaillant pour la Défense qui utilisent les applications de messagerie les plus populaires du marché.
L’utilisation d’application non sécurisées pour la transmission d’informations à caractère opérationnel doit toujours être analysée avec la plus grande prudence, et ce, en mettant en balance le besoin opérationnel et l’urgence avec le risque de compromission de l’information.
2) En fonction du niveau de menace de la région où des militaires sont déployés, la Défense impose des directives sur l’utilisation des appareils électroniques personnels (téléphones, tablettes, etc.) et des applications de messagerie instantanée. L’utilisation de ces applications comportent toujours un certain risque. Par conséquent, leur utilisation est strictement limitée à des communications non classifiées.
3) Ces applications commerciales ne sont actuellement pas strictement interdites au personnel de la Défense. Comme indiqué ci-dessus, ces applications commerciales ne peuvent toutefois être utilisées que pour la communication d’informations non classifiées.
4) À ce jour, aucun risque de sécurité n’a été constaté à la Défense. Le Service général du renseignement et de sécurité (SGRS) analyse de manière récurrente les différentes applications de messagerie instantanée à usage professionnel au sein de la Défense. Il convient de noter ici qu’il s’agit toujours d’un instantané, car les applications évoluent constamment et les risques sont donc également susceptibles de changer.
Toutes ces applications envoient des journaux de débogage, des informations sur les pannes ou partagent des informations sur la qualité de la connexion, ce qui peut compromettre la confidentialité ou le cryptage de bout en bout. Pour la plupart des applications, des risques ont été identifiés et, en fonction du risque résiduel qui est jugé acceptable, une application particulière et son architecture correspondante peuvent ou non être choisies.
5) On ne connaît aucun cas concret où une application de messagerie instantanée aurait été piratée pendant son utilisation par le personnel de la Défense.
6) La Défense contribue à la sécurité informatique en sensibilisant son personnel aux dangers d’utilisation et à la bonne manière d’agir, ainsi qu’en renforçant régulièrement son réseau. Les ajustements apportés aux infrastructures réseaux sont classifiées et ne peuvent être communiquées publiquement pour des raisons de sécurité.