SÉNAT DE BELGIQUE
________
Session 2021-2022
________
27 octobre 2021
________
SÉNAT Question écrite n° 7-1385

de Els Ampe (Open Vld)

au vice-premier ministre et ministre de la Justice et de la Mer du Nord
________
Smartphones - Acteurs étatiques - Vie privée - Espionnage - Chiffres et tendances
________
téléphone mobile
protection des communications
espionnage
Chine
________
27/10/2021 Envoi question
15/12/2021 Réponse
________
Aussi posée à : question écrite 7-1386
________
SÉNAT Question écrite n° 7-1385 du 27 octobre 2021 : (Question posée en néerlandais)

Un récent rapport de sécurité lituanien révèle que les smartphones en provenance de Chine sont tout sauf sûrs. Outre la fuite habituelle de données qui a déjà défrayé la chronique à propos de marques telles que Xiaomi et Huawei, il apparaît maintenant aussi que certains modèles contiendraient des logiciels de censure (https://www.nrc.nl/nieuws/2021/09/22/litouwen roept op chinese telefoons weg te gooien a4059206).

Le vice-ministre lituanien de la Défense, Margiris Abukevicius, a déjà appelé ses concitoyens à se débarrasser des smartphones des fabricants susmentionnés et à ne pas en acheter de nouveaux.

Selon le rapport de la Défense, un smartphone de la marque Xiaomi contiendrait un logiciel intégré capable de censurer automatiquement des termes tels que " Vive Taïwan " et " Tibet libre ". Le logiciel de censure a été découvert sur le téléphone Mi 10T 5G de Xiaomi et est automatiquement désactivé dans les pays de l'Union européenne dont la Lituanie fait partie. Il peut toutefois être activé à distance, préviennent les experts en cybersécurité des autorités lituaniennes dans le rapport.

Il ressort en outre du rapport que le smartphone de Xiaomi incriminé reconnaîtrait une liste de 449 termes chinois pouvant être censurés. Chez un autre fabricant chinois, Huawei, il est apparu que certains modèles de smartphones envoyaient des données cryptées vers un serveur situé à Singapour.

La présence dans les smartphones chinois de 'portes dérobées' pouvant être activées à tout moment est inquiétante. Le risque d'espionnage qui en découle est très élevé.

C'est aussi pour cette raison que des pays comme la Suède et le Royaume-Uni refusent que des opérateurs chinois de téléphonie mobile comme Huawei participent au déploiement du réseau 5G (https://www.politico.eu/article/sweden faces chinese blowback over huawei ban/). Fin 2018, les États-Unis ont eux aussi adopté une proposition de loi interdisant aux autorités fédérales et à leurs instances de faire des affaires avec ce géant de la technologie chinois (https://www.newstatesman.com/spotlight/2019/11/whats really behind uss huawei ban).

En ce qui concerne le caractère transversal de la question: les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité pour la période 2016-2019 et ont fait l'objet d'un débat lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Cette question concerne dès lors une compétence régionale transversale, les Régions intervenant surtout dans le volet préventif.

Je souhaiterais donc poser au ministre les questions suivantes.

1) Quelle est l'ampleur du risque sécuritaire des smartphones chinois aujourd'hui en Belgique? Des mesures seront-elles prises à cet égard?

2) Existe-t-il des directives à l'intention des hauts dignitaires, des personnalités politiques de premier plan, des professeurs, etc. qui pourraient utiliser des smartphones ou d'autres appareils dont la sécurité ne peut être garantie?

3) Ces smartphones sont-ils également utilisés par des membres des services internes de sécurité comme le SGRS et la Sûreté de l'État? Dispose-t-on de statistiques sur le nombre de smartphones chinois utilisés dans nos services de sécurité?

4) Les collaborateurs de ces services ont-ils reçu des directives sur l'utilisation de smartphone potentiellement 'dangereux'? Peuvent-ils utiliser de tels smartphones dans la sphère privée? Que ce soit le cas ou non, pour quelle raison?

5) Existe-t-il en Belgique des données chiffrées sur le nombre d'utilisateurs de smartphones chinois présentant un problème de sécurité? Dans l'affirmative, quel est leur nombre? Observe-t-on certaines tendances sur les cinq dernières années? À quel niveau placez-vous le risque sécuritaire lié à ces utilisateurs?

6) Le SGRS et la Sûreté de l'État ont-ils reçu des directives relatives à la protection de notre propre infrastructure et de notre vie privée en ce qui concerne ces smartphones chinois à risque?

7) Existe-t-il déjà des cas connus d'envoi secret de données de la Belgique vers la Chine par des smartphones chinois? Dans l'affirmative, quel est le nombre de cas connus et en quelles années ont-ils été observés? De quel type de smartphones s'agissait-il (marque, type, etc.)? Dans la négative, comment les services pourraient-ils mieux détecter ces fuites de données?

8) Quels projets nos autorités mènent-elles pour que nos infrastructures numériques puissent mieux se défendre contre des attaques ou de l'espionnage organisés? Quel est leur état d'avancement? Qu'est-il encore prévu? Est-ce surtout le logiciel qui est en cause ou bien le matériel est-il lui aussi contrôlé ou remplacé (renouvelé)? Pourquoi?

9) Comment la Belgique peut-elle collaborer avec d'autres acteurs (par exemple l'UE, le Conseil de l'Europe, etc.) pour lutter contre ce type de transgressions de la part d'acteurs étrangers?

10) En dehors des smartphones de fabrication chinoise, d'autres appareils en provenance de ce pays peuvent-ils représenter une menace?

11) En dehors de la Chine, d'autres pays peuvent-ils représenter une menace pour la sécurité à travers les appareils qu'ils fournissent?

Réponse reçue le 15 décembre 2021 :

Le SGRS ne relève pas de mes attributions; je vous fais parvenir ici les éléments de réponse qui m’ont été communiqués par la Sûreté de l’État (VSSE).

1) La VSSE a pris connaissance du rapport du service lituanien et considère que les conclusions sont correctes. Cependant, il est de notoriété publique qu’un certain fabricant de smartphones a collecté secrètement à l’étranger des données d’utilisateurs et qu’il les a transférées sur des serveurs chinois. En mai 2020, un rapport sur les médias a révélé que tant des données relatives aux habitudes de navigation que le «universally unique identifier» d’utilisateurs ont été collectés. Ces data ont ensuite été envoyées en Chine avec un cryptage facile à contourner. En combinaison avec le cadre législatif dans lequel les fabricants chinois de smartphones opèrent, cette pratique est pour le moins problématique sous l’angle du respect de la vie privée et touche potentiellement à des intérêts nationaux en matière de sécurité.

(1 : BREWSTER, T., «Exclusive: Warning Over Chinese Mobile Giant Xiaomi Recording Millions Of People’s «Private» Web and Phone Use», Forbes, 30 avril 2020, consulté sur https://www.forbes.com/sites/thomasbrewster/2020/04/30/exclusive-warning-over-chinese-mobile-giant-xiaomi-recording-millions-of-peoples-private-web-and-phone-use/)

2) La VSSE donne régulièrement des briefings en matière de sécurité à de hauts dignitaires, des personnalités politiques de premier plan, des professeurs de l’enseignement supérieur, etc. Le message général diffusé par le service est qu’une vigilance accrue s’impose. Malgré l’absence de preuves observées que les dispositifs sont utilisés à des fins d’espionnage, on peut déduire – à partir d’informations disponibles dans des sources ouvertes (en l’occurrence la législation chinoise dans le cadre de laquelle les fabricants opèrent) – qu’il est théoriquement possible que les dispositifs et les informations qu’ils traitent soient exposés à l’espionnage chinois. La VSSE recommande donc la vigilance, surtout lorsqu’il s’agit de data sensibles.

3) La VSSE n’utilise pas de smartphones chinois.

4) Les collaborateurs de la VSSE reçoivent une formation sur la manière de gérer des informations sensibles et classifiées. Ils savent qu’ils doivent les protéger. Cela implique également que ces informations ne doivent pas se trouver sur des appareils privés ni être discutées par téléphone (privé ou professionnel).

5) La VSSE ne dispose pas de chiffres de vente de fabricants de smartphones en Belgique. Au niveau mondial, les ventes de smartphones Huawei diminuent depuis quelques années déjà.

6) La VSSE recommande la plus grande prudence avec l’utilisation de smartphones de ce type. Le cadre légal dans lequel les entreprises chinoises de smartphones opèrent constitue un risque tant pour le respect de la vie privée que pour la perte de données sensibles.

7) La VSSE n’a pas mené d’enquête ciblée ou approfondie sur les smartphones en question. Vu les constatations de l’étude lituanienne et l’étude évoquée dans la réponse au point 1 de la question, nous pouvons partir du principe que des data d’utilisateurs belges de smartphones se sont également retrouvées sur des serveurs chinois.

8) Il est préférable que ce point de la question soit traité par le Centre pour la cybersécurité en Belgique (CCB), l’autorité nationale pour la cybersécurité en Belgique, qui relève de la compétence de mon collègue, le premier ministre.

9) Cette question relève de la compétence de ma collègue, la ministre des Affaires étrangères.

10) Le cadre légal et économique en République populaire de Chine contraint toutes les entreprises à collaborer avec les autorités et les services de renseignement si ceux-ci le demandent. Je me réfère donc à la réponse à la question 55-2-000466. Les appareils de producteurs chinois qui sont connectés à Internet et sur lesquels se trouvent des informations susceptibles d’intéresser les autorités chinoises peuvent donc tous constituer un risque en matière de sécurité.

11) La VSSE conseille d’examiner la sécurité de l’information comme un tout, plutôt que des pays spécifiques. Chaque appareil connecté à Internet peut être piraté et transmettre des données. Il est donc recommandé d’examiner quelles informations se trouvent sur ces appareils et comment elles sont protégées plutôt que des pays individuels.