Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 7-1818

de Tom Ongena (Open Vld) du 10 novembre 2022

au secrétaire d'État à la Digitalisation, chargé de la Simplification administrative, de la Protection de la vie privée et de la Régie des bâtiments, adjoint au Premier Ministre

Piratage - Protection des données - Pièges numériques - Détection des appareils intelligents non sécurisés - Chiffres et tendances

piratage informatique
statistique officielle
guerre de l'information
sécurité des systèmes d'information
virus informatique

Chronologie

10/11/2022Envoi question (Fin du délai de réponse: 15/12/2022)
15/12/2022Réponse

Aussi posée à : question écrite 7-1816
Aussi posée à : question écrite 7-1817

Question n° 7-1818 du 10 novembre 2022 : (Question posée en néerlandais)

Les routeurs, les disques réseau et les caméras de surveillance non sécurisés demeurent un problème malgré le durcissement des règles. Des experts mettent en garde contre ce danger. Certes, les appareils non sécurisés n'affluent plus sur le marché, mais ce coup d'arrêt intervient après des années de libre circulation.

Comme a pu le constater l'organisation néerlandaise de radio- et télédiffusion NOS (Nederlandse Omroep Stichting) lors de sa tournée des services publics, personne au sein des autorités néerlandaises n'est chargé de détecter structurellement ces appareils intelligents non sécurisés. Et pendant ce temps, de nombreux cybercriminels explorent l'internet à longueur de journée, de manière largement automatisée, à la recherche de victimes inconscientes du danger.

Les criminels se servent de ces appareils pour mener des attaques DDoS attaques collectives par saturation de service), envoyer des spams et lancer de nouvelles attaques de piratage. Les services de renseignement, eux aussi, ont les appareils intelligents dans leur collimateur.

Les autorités pourraient lutter contre ce phénomène en plaçant des pièges contenant des appareils vulnérables ou en recherchant elles-mêmes de tels appareils chez les utilisateurs d'internet, mais elles ne font ni l'un, ni l'autre. Tout en est resté au stade de projet pilote.

L'agence néerlandaise des télécommunications (Agentschap Telecom) a choisi de ne pas reprendre le flambeau pour l'instant, et ce pour des raisons techniques et juridiques. Selon l'inspectrice générale Angeline Van Dijk, il s'agit d'une expérience intéressante, mais qui se heurte encore aux règles relatives à la vie privée et soulève toujours des questions en termes de risques techniques.

Ailleurs dans les services publics, personne n'effectue un travail similaire. Le centre national néerlandais de la cybersécurité (Nationaal Cyber Security Centrum) se concentre uniquement sur les pouvoirs publics et les entreprises critiques, et la police pointe la responsabilité personnelle des propriétaires (cf. https://nos.nl/artikel/2449517 onveilige slimme apparaten straks van de markt geweerd maar risico s blijven).

Entre-temps, plusieurs routeurs de particuliers et de petites et moyennes entreprises aux Pays-Bas ont été piratés par un groupe militaire russe tristement célèbre dans ce domaine. Ils ont ainsi été intégrés à un réseau d'attaque mondial de plusieurs milliers d'appareils piratés, contrôlés par l'«Unité 74455» russe.

L'«Unité 74455», aussi appelée «Sandworm of BlackEnergy», fait partie du service de renseignement militaire russe, le GRU, et est considérée par des sociétés de sécurité internationales comme le groupe de piratage le plus dangereux au monde. Ce groupe est spécialisé dans l'influence et le sabotage.

Le Service néerlandais de renseignement et de sécurité militaire (Militaire Inlichtingen- en Veiligheidsdienst – MIVD) a fait cette découverte à la suite d'avertissements lancés fin février 2022 par les services de sécurité britanniques et américains, selon lesquels des pirates informatiques russes utilisent un nouveau type de logiciel malveillant, appelé Cyclops Blink. Ce dernier s'introduit dans des routeurs, notamment «WatchGuard», et crée ainsi un réseau d'attaque que l'on appelle aussi «botnet» (cf. https://www.volkskrant.nl/nieuws achtergrond/mivd verstoort russische digitale aanval op routers van nederlandse burgers~b586c806/).

En ce qui concerne le caractère transversal de la question écrite: les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui devront être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la note-cadre de sécurité intégrale et dans le Plan national de sécurité 2022-2025 et ont été discutés lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Il s'agit donc d'une matière transversale qui relève également des Régions, le rôle de ces dernières se situant surtout dans le domaine de la prévention.

Je souhaiterais dès lors vous poser les questions suivantes:

1) Pouvez-vous indiquer si une initiative de «piège» numérique a été, est ou sera menée auprès des diverses autorités belges? Si oui, quelles constatations ont été faites dans ce cadre? Où ces pièges ont-ils été installés, ou prévoit-on de placer de tels dispositifs? Si non, pourquoi?

2) A-t-on choisi d'autres moyens pour détecter de manière structurelle les appareils intelligents non sécurisés? Si oui, en quoi consistent ces projets? Combien y en a-t-il eu au cours des trois dernières années? Quel fut l'objectif poursuivi? Quelles conclusions ont été tirées de ces expériences? Si non, pourquoi?

3) Pouvez-vous indiquer le nombre de routeurs, de disques réseau et de caméras de surveillance contenant des informations sensibles des autorités que l'on estime vulnérables au piratage et à d'autres formes d'intrusion? Quelles mesures ont déjà été prises pour éviter les risques en la matière? Quels projets sont encore en chantier? En quoi consistent-ils?

4) Combien d'appareils, de disques durs, de routeurs, etc. des pouvoirs publics ont été piratés ces trois dernières années? Des tendances se dessinent-elles? D'où provenaient ces attaques? Quelles données ont été les plus prisées lors de ces intrusions? Peut-on observer des évolutions à cet égard?

5) Pourriez-vous fournir les derniers chiffres concernant les serveurs, routeurs, ordinateurs, etc., qui ont été infectés par un logiciel malveillant et ont ainsi été intégrés à un «botnet» (réseau d'attaque)? À partir de quels pays ces «botnets» sont-ils pilotés? Combien d'attaques sont menées depuis notre pays? A-t-on aussi découvert des «botnets» commandés par des Belges? Si oui, combien? Quelles peines ont été infligées à ces personnes?

6) A-t-on connaissance de cas d'intrusion de l'«Unité 74455» (aussi appelée «Sandworm of BlackErnergy») ou de «Cyclops Blink» sur nos réseaux? Dans l'affirmative, combien de cas ont été recensés ces trois dernières années? Sur quels serveurs ou dans quelles banques de données, etc., ont-ils été découverts? Quelles mesures ont été prises pour lutter contre ces attaques? Quel est le montant des dommages financiers pour chaque piratage «réussi» par de tels acteurs étrangers? Les attaques se sont-elles intensifiées depuis février 2022?

7) Pourriez-vous fournir la liste la plus récente de cyberattaques sur notre infrastructure sensible? De quels pays proviennent pareilles tentatives d'intrusion? Combien en dénombre-t-on par mois? Quelles sont les cibles les plus courantes?

8) Pouvez-vous aussi préciser dans quelle mesure les smartphones et autres appareils de ce type sont sécurisés contre ce genre d'attaques ? Combien de smartphones belges font partie de «botnets»? Pourriez-vous, si possible, donner des chiffres à cet égard? Quels sont les risques que présentent uniquement les smartphones piratés au moyen de tels logiciels d'intrusion?

Réponse reçue le 15 décembre 2022 :

Les questions liées à la cybersécurité relève des compétences du premier ministre. Je vous invite à les lui adresser. Toutefois, je vous prie de trouver ci-dessous les éléments de réponse fournis par le Center for Cyber security Belgium (CCB).

1) Il incombe actuellement à chaque gouvernement et agence de sécurité de fournir une infrastructure TIC (technologies de l’information et de la communication) sécurisée. Le CCB est conscient de l’existence de leurres numériques dans les agences gouvernementales et de sécurité.

2) Au niveau européen, des travaux sont en cours sur une plus grande «security by design», les produits comportant des éléments numériques à la base devant être plus sûrs. Le 15 septembre 2022, la Commission européenne a proposé la loi sur la cyber-résilience: une proposition de règlement sur les exigences de cybersécurité pour les produits comportant des éléments numériques. Le règlement devrait renforcer les exigences en matière de cybersécurité afin de garantir des produits matériels et logiciels plus sûrs. Ces exigences essentielles de cybersécurité couvrent l’ensemble du cycle de vie ou cinq ans et doivent être mises en œuvre par les fabricants, distributeurs ou importateurs. Les exigences de cybersécurité s’appliquent à la conception, au développement et à la production de produits comportant des éléments numériques et comprennent également des exigences essentielles pour le traitement des vulnérabilités. La conclusion des négociations pour ce règlement est attendue en 2024.

Au niveau belge, le Centre de cybersécurité travaille sur des solutions structurelles à travers son approche de cyberprotection active qui guide ses efforts et ses projets pour sécuriser l’espace numérique belge. L’accent est mis sur un soutien proactif, automatisé, adapté et participatif, ainsi que sur la responsabilisation des utilisateurs. Il vise à détecter de manière proactive les vulnérabilités les plus pertinentes et à avertir les utilisateurs avant qu’ils ne soient victimes d’une attaque. En développant des outils et des pratiques préventifs pour faire face aux risques de cybersécurité ciblant les vulnérabilités tant humaines que techniques, le CCB renforce la confiance dans l’environnement numérique grâce à la cyberprotection active.

Le projet Spear-Warning est l’un des projets dans le cadre duquel le CCB promeut la cyberprotection active. L’alerte par harpon est un système d’alerte ciblé individuellement. Avec l’aide de plusieurs partenaires privés, le CCB dispose de multiples sources d’information sur les systèmes vulnérables ou infectés dans notre pays. Lorsqu’il existe une correspondance entre une vulnérabilité et un système connu, le CCB peut alors envoyer des alertes e-mail personnalisées aux organisations enregistrées par le biais d’un système automatisé (automated spear-warning). Si les analystes du CCB remarquent une vulnérabilité et peuvent la relier au propriétaire d’un système belge vulnérable, ils alertent ce propriétaire par contact direct (e-mail, téléphone, lettre) (analyst spear-warning).

3) & 4) Il incombe actuellement à chaque gouvernement et service de sécurité de fournir une infrastructure TIC sécurisée. Le CCB ne dispose pas d’une vue d’ensemble du nombre d’appareils gouvernementaux, de disques durs, de routeurs, etc., qui ont été victimes de piratage au cours des trois dernières années.

5) Dans le cadre de sa mission légale, le CCB a observé un pic de près de 500 000 observations de systèmes belges infectés en mars en 2022, avec une réduction générale par la suite. Ainsi, les estimations se situaient à moins de 400 000 en janvier 2022, à un peu plus de 200 000 en mai et à environ 150 000 en octobre. Il est important de rappeler ici que les chiffres peuvent être affectés par l’ajout ou le retrait de fournisseurs Intel, par l’évolution des flux de perception des fournisseurs Intel et par l’indisponibilité de dispositifs ou de segments de réseau. Les chiffres ne représentent pas non plus des dispositifs infectés mais des observations. Pour cette raison, il est impossible de donner des chiffres «précis». D’autres indicateurs sont le nombre d’IP (Internet Protocol) uniques et le nombre de familles de logiciels malveillants uniques observés par jour.

Il peut être estimé avec une certaine certitude qu’environ 1 300-1 500 adresses IP belges infectées uniques sont observées quotidiennement par le CCB. Selon toute vraisemblance, les chiffres sont plus élevés, mais le CCB ne peut pas estimer de combien.

6) En Belgique, ce groupe d’acteurs n’a pas encore été remarqué lors d’incidents.

7) Jusqu’à présent en 2022, six cyberincidents nationaux ont eu lieu sur des organisations d’intérêt vital ou particulier. Cependant, les attaques contre les infrastructures critiques font généralement partie d’une enquête judiciaire sur laquelle le CCB ne peut pas communiquer davantage.

La question de l’attribution est une responsabilité des Affaires étrangères en coopération avec le Service général du renseignement et de sécurité (SGRS).

8) Le CCB ne dispose pas de tels chiffres. Cependant, le CCB et l’Institut belge des services postaux et des télécommunications (IBPT) ont donné des recommandations ciblées aux utilisateurs de téléphones portables après les infections par le logiciel malveillant Flubot. Le CCB a appelé les utilisateurs à ne pas faire confiance aux messages inattendus, à ne pas cliquer sur un lien dans un message texte et à ne jamais installer d’applications via un lien dans un message. Des conseils ont également été donnés aux utilisateurs de téléphones mobiles déjà infectés: il faut soit rétablir les paramètres d’usine, soit redémarrer l’appareil en «mode sans échec», puis supprimer la fausse application. Après avoir supprimé le virus, il faut changer tous les mots de passe des comptes auxquels la personne accède via le smartphone et doit prévenir ses contacts des faux messages en son nom. Cette information a été communiquée par le biais de communiqués de presse. Le CCB a encouragé les gens à envoyer des captures d’écran des messages frauduleux à [email protected].

La campagne annuelle de sensibilisation du CCB a également porté cette année sur les logiciels malveillants mobiles. Le message de la campagne, «OK n’est pas toujours OK!», met en évidence les risques de fraude et de logiciels malveillants mobiles. La campagne propose des conseils sur la manière de préserver la sécurité d’un smartphone en évitant de télécharger des applications provenant de sources non fiables et en effectuant des mises à jour dès que possible. Elle recommande également d’être particulièrement vigilant lorsqu’une personne reçoit un courriel ou un message texte l’invitant à télécharger une application. La campagne a été lancée par le CCB et la Cyber Security Coalition, ainsi que par plus de cinq cents partenaires.