SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2013-2014 Zitting 2013-2014
________________
18 novembre 2013 18 november 2013
________________
Question écrite n° 5-10410 Schriftelijke vraag nr. 5-10410

de Nele Lijnen (Open Vld)
van Nele Lijnen (Open Vld)

à la vice-première ministre et ministre de l'Intérieur et de l'Égalité des Chances
aan de vice-eersteminister en minister van Binnenlandse Zaken en Gelijke Kansen
________________
Cybercriminalité - Europe orientale - Réaction européenne - Situation en Belgique Cybercriminaliteit - Oost-Europa - Europese reactie - Situatie in België 
________________
criminalité informatique
Europe centrale et orientale
computercriminaliteit
Midden- en Oost-Europa
________ ________
18/11/2013Verzending vraag
23/1/2014Antwoord
18/11/2013Verzending vraag
23/1/2014Antwoord
________ ________
Ook gesteld aan : schriftelijke vraag 5-10411 Ook gesteld aan : schriftelijke vraag 5-10411
________ ________
Question n° 5-10410 du 18 novembre 2013 : (Question posée en néerlandais) Vraag nr. 5-10410 d.d. 18 november 2013 : (Vraag gesteld in het Nederlands)

En réponse à la question 5-10138, le premier ministre (auquel m'avait auparavant renvoyé le ministre des Affaires étrangères) m'a suggéré de m'adresser à vous. Je répète donc ma question. Lorsqu'il est question de cybercriminalité, l'Asie orientale passe généralement pour la plaque tournante de ces activités. Par le passé, ces criminels ont déjà souvent attaqué des entreprises et des administrations. Les experts considèrent toutefois que le rôle des cybercriminels est-européens ne doit pas être sous-estimé : leur technologie serait plus sophistiquée, et l'Asie orientale ne constitue pas la principale menace et certainement pas la seule.

Les pirates est-européens fabriqueraient et diffuseraient des maliciels plus complexes. Leur infrastructure est plus sophistiquée. Alors que les hackers asiatiques opèrent en masse pour de grandes organisations, les hackers est-européens travaillent en groupes plus petits. On peut pour ainsi dire les engager comme mercenaires, et ils gagnent gros. Cela signifie qu'on peut les identifier individuellement, à la différence des pirates est-asiatiques qui se fondent dans la foule ; les pirates est-européens se cachent et se protègent donc beaucoup mieux.

Les questions que j'ai posées à différents ministres m'ont notamment permis d'apprendre que des cybercriminels roumains sévissent dans notre pays. Le ministre des Finances a ainsi répondu à une question relative à des courriels frauduleux donnant l'apparence de provenir du fisc : « Le message contient un lien vers le formulaire de demande de remboursement à télécharger depuis le site http://fiscus.fgov.ro. Ce site se situe en Roumanie. Le nom du site est comparable au nom du site du SPF Finances, http://fiscus.fgov.be. La présentation du formulaire s'inspire de la présentation de la page d'information trouvée sur le site des Finances (couleur de fond de page et bandeau d'en-tête identiques). »

1) Dans quelle mesure cette présentation correspond-elle à la réalité ?

2) Au niveau européen, est-on conscient du rôle croissant des cybercriminels est-européens ? De quelle manière ?

3) A-t-on déjà signalé à des pays européens que des criminels de ce type sont actifs sur leur territoire, qu'ils envoient par exemple de faux avis émanant prétendument du fisc ? Pouvez-vous préciser ?

4) Dans ce cadre, un rôle négatif de notre pays a-t-il déjà été identifié ? Pouvez-vous préciser ? Êtes-vous au courant d'un groupe organisé de hackers de notre pays ? Si oui, pouvez-vous préciser ? Si non, estimez-vous néanmoins possible que de telles bandes agissent depuis notre pays ?

 

In zijn antwoord op vraag 5-10138 antwoordde de Eerste Minister dan ik mij tot u moest richten (nadat de minister van Buitenlandse Zaken mij naar hem had verwezen). Ik herhaal aldus mijn vragen. Wanneer het over cybercriminaliteit gaat, geldt Oost-Azië meestal als het centrum van dergelijke activiteiten. Cybercriminelen hebben in het verleden reeds vele aanvallen uitgevoerd op bedrijven en overheden. Toch stellen experts dat we de rol van cybercriminelen uit Oost-Europa niet mogen onderschatten. Hun technologie en aanvallen zouden meer gesofisticeerd zijn en aldus is Oost-Azië zeker niet de gevaarlijkste, laat staan de enige dreiging.

Oost-Europese hackers zouden meer complexe malware bouwen en lanceren. Hun infrastructuur is ook gesofisticeerder. Terwijl Oost-Aziatische hackers in grote "legers" opereren vanuit grotere organisaties, werken Oost-Europese hackers in veel kleinere groepjes. Ze kunnen als ware huurlingen ingezet worden en verdienen hieraan grof geld. Dit betekent ook dat ze individueel detecteerbaar zijn, in tegenstelling tot de Oost-Aziatische criminelen die opgaan in het collectief, en dat ze zich veel beter verbergen en indekken.

Uit andere vragen die ik intussen stelde aan diverse ministers, bleek onder meer dat Roemeense cybercriminelen actief zijn in ons land. Zo schreef de minister van Financiën op een vraag over valse mails die in naam van de fiscus gestuurd werden: "De boodschap bevat een link naar het aanvraagformulier voor de teruggave dat kan worden gedownload . Het formulier kan op de website http://fiscus.fgov.ro. worden gedownload. Deze website bevindt zich in Roemenië. De naam van de website is vergelijkbaar met de naam van de website van de FOD Financiën, http://fiscus.fgov.be. De opmaak van het formulier is gebaseerd op de opmaak van de informatiepagina op de website van Financiën (identieke achtergrondkleur en header)."

1) In welke mate klopt het beeld zoals beschreven in de toelichting?

2) Is er op het Europese niveau een bewustzijn van de groeiende rol van cybercriminelen in Oost-Europa? Op welke manier?

3) Heeft men bepaalde Europese landen reeds gewezen op de aanwezigheid van dergelijke criminelen in hun land, gelet op bijvoorbeeld het voorbeeld van de valse fiscusberichten? Kunt u dit toelichten?

4) Werd ons land in het verleden al gewezen op een negatieve rol inzake deze problematiek? Kunt u dit toelichten? Hebt u weet van een georganiseerde groep hackers uit ons land? Zo ja, kunt u dit toelichten? Zo neen, acht u het mogelijk dat dergelijke groeperingen toch actief zijn in ons land?

 
Réponse reçue le 23 janvier 2014 : Antwoord ontvangen op 23 januari 2014 :

1. L’image décrite, opérant la distinction entre les groupes de hackers d’Europe de l'Est et de l'Est asiatique ne provient pas d’analyses stratégiques de la police. Les analyses stratégiques de la police ne peuvent ni confirmer ni infirmer les constatations que vous avancez sur leur organisation et niveau de connaissance.

Il est toutefois correct de dire que dans de nombreux dossiers en cours, les traces mènent à des pays d’Europe de l'Est et de l'Est asiatique. Mais dans d’autres dossiers, les traces mènent à d’autres pays d’Europe occidentale, d’Amérique ou d’Afrique.

Nous constatons que les cybercriminels améliorent partout dans le monde leurs connaissances et compétences dans la création de logiciels malveillants. Ils n’hésitent pas à ré-utiliser le code source d’autres cybercriminels. Ainsi, il n’est souvent pas possible de déterminer qui se trouve effectivement à la base du malware.

Les auteurs de cybercriminalité peuvent se trouver dans n’importe quel pays du monde. Les traces techniques (adresses IP – adresses internet) peuvent mener à certains pays, mais il n’existe aucune certitude sur la présence des auteurs dans ce pays. En effet, il arrive souvent que les cybercriminels travaillent via différents systèmes intermédiaires (hackés) se trouvant quasi toujours dans d’autres pays.

Le site avec un nom de domaine enregistré avec un code national ne doit pas nécessairement se trouver dans ce pays ou avoir un lien avec ce pays. Les sites avec code BE ou .RO peuvent tout aussi bien se trouver sur des serveurs belges, américains ou australiens.

2. Les analyses d’Europol iOCTA (internet organized crime threat assesment) de 2011 et de SOCTA (serious organized crime threat assessment) de 2013 ne peuvent pas non plus confirmer ou infirmer vos affirmations.

Au niveau européen, le Europol het European Cybercrime Centre a été créé début 2013 au sein de la EC3 pour lutter contre diverses formes de cybercriminalité. Avec la EC3, les États-membres ont élaboré un plan d’approche de la cybercriminalité notamment sur quatre ans, dont un des points d’attention est l’amélioration de l’image.

La lutte contre la cybercriminaliteit ne se concentre pas tant sur certains pays que sur les phénomènes et les plateformes utilisées par les cybercriminels, selon la nationalité des auteurs ou groupes d’auteurs. In casu, la lutte contre les malware et les plateformes de vente underground pour l’échange de services criminels est visée.

3. La collaboration entre les différents pays européens pour la lutte contre le cybercrime suit les règles en vigueur de la coopération internationale judiciaire et policière.

Pour améliorer la collaboration judiciaire avec certains pays d’Europe de l'Est, le Parquet fédéral a conclu des protocoles de coopération avec les instances judiciaires compétentes notamment en Russie, Serbie, Roumanie, Moldavie et Albanie.

Depuis environ cinq ans, la police et la justice belge ont collaboré dans le cadre de divers dossiers avec les pays d'Europe de l'Est aussi bien dans l’UE que hors UE.

Cette collaboration, contrôlée par le Parquet Fédéral, utilise les divers instruments de l’entraide internationale, depuis les demandes d’identifications écrites jusqu’aux descentes conjointes pour les perquisitions.

4. La Belgique n’est évidemment pas épargnée par la cybercriminalité et dans notre pays aussi, des cybercriminels sont actifs.

Notre pays n’a pas encore été notifié par d’autres pays de la présence d’une telle cybercriminalité organisée dans notre pays.

Toutefois, cela ne signifie pas que les hackers ne sont pas actifs dans notre pays. L’année dernière, un certain nombre de personnes actives sous l’égide de « Anonymous » ont été identifiées et arrêtées. Les procès contre ces personnes sont toujours en cours.

Il ressort de ces dossiers que les cybercriminels collaborent souvent sans lien particulier et que sur le marché noir, ils s’achètent ou se louent leur produits et services.

Des groupes de hackers organisés sont effectivement actifs dans notre pays, ce qui ne signifie pas qu’ils sont situés sur notre territoire.

1. Het beschreven beeld met het onderscheid tussen de Oost-Aziatische en Oost-Europese hackersgroeperingen is niet afkomstig uit strategische analyses van de politie. De strategische analyses van de politie kunnen de door u naar voor gebrachte stellingen over hun organisatie en kennisniveau bevestigen noch ontkennen.

Het is wel correct dat in nogal wat dossiers in behandeling de sporen lopen naar de Oost-Europese en Aziatische landen. In andere dossiers leiden de sporen echter naar andere West-Europese, Amerikaanse of Afrikaanse landen.

We zien dat cybercriminelen wereldwijd hun kennis en competenties in het schrijven van kwaadaardige software verbeteren. Ze laten hierbij niet na om de broncode van andere cybercriminelen te hergebruiken. Op deze manier is het vaak niet mogelijk om te bepalen wie er effectief aan de basis ligt van bepaalde malware.

De daders van cybercriminaliteit kunnen zich bevinden in welk land ter wereld dan ook. De technische sporen (zoals IP-adressen – internetadressen) kunnen weliswaar leiden naar bepaalde landen, maar dat geeft geen zekerheid over de aanwezigheid van de daders in dat land. Het is immers vaak zo dat cybercriminelen via verschillende tussenliggende (gehackte) systemen werken die zich bijna steeds in andere landen bevinden.

De website met een domeinnaam die wordt geregistreerd met een bepaalde landscode hoeft niet noodzakelijk in dat land te staan of enig verband houden met dat land. Websites met de landscodes .BE of .RO kunnen evengoed op servers in België als in de USA of Australië staan.

2. Ook de analyses van Europol iOCTA (internet organized crime threat assesment) van 2011 en de SOCTA (serious organized crime threat assessment) van 2013 kunnen de door u naar voorgebrachte stellingen bevestigen noch ontkennen.

Op Europees niveau is begin 2013 binnen Europol het European Cybercrime Centre EC3 opgericht om de diverse vormen van cybergerelateerde criminaliteit op een effectievere manier te bestrijden. Samen met het EC3 hebben de lidstaten een plan van aanpak van onder andere cybercriminaliteit over een termijn van vier jaar uitgewerkt waarbij de verbetering van de beeldvorming een belangrijk aandachtspunt is.

De strijd tegen de cybercriminaliteit focust zich niet zozeer naar bepaalde landen maar wel naar de fenomenen en de platformen die door de cybercriminelen worden gebruikt, onafhankelijk van de nationaliteit van de daders of de dadergroeperingen. In casu wordt bijvoorbeeld een focus gelegd naar de strijd tegen malwareproducenten en tegen underground verkoopsplatformen waarop criminele diensten worden uitgewisseld.

3. De samenwerking tussen de verschillende landen binnen de EU voor de bestrijding van cybercriminaliteit verloopt overeenkomstig de geldende regels van internationale justitiële en politionele samenwerking.

Om de gerechtelijke samenwerking met bepaalde Oost-Europese landen te verbeteren, heeft het federaal parket samenwerkingsprotocols gesloten met de bevoegde gerechtelijke instanties van bepaalde landen zoals Rusland, Servië, Roemenië, Moldavië en Albanië.

De Belgische politie en Justitie hebben sinds een vijftal jaar in diverse dossiers samengewerkt met de verschillende Oost-Europese landen zowel binnen als buiten de EU. In deze samenwerking die wordt aangestuurd door het Federale Parket wordt gebruik gemaakt van de diverse instrumenten van internationale rechtshulp vanaf schriftelijke verzoeken tot identificatie tot en met gezamenlijke afstappingen voor huiszoekingen.

4. België is vanzelfsprekend niet gespaard van cybercriminaliteit en ook in ons land zijn cybercriminelen actief.

België werd in het verleden echter nog niet door enig land of internationale organisatie aangesproken omwille van het feit dat vanuit ons land georganiseerde hackersgroeperingen actief waren.

Dit sluit echter niet uit dat ook in ons land hackers actief zijn. In het voorbije jaar werden in verschillende dossiers een aantal personen, die actief waren onder de “Anonymous”-vlag, geïdentificeerd en opgepakt en voor de rechter gebracht. Uit de dossiers leren we dat cybercriminelen vaak in los verband met elkaar samenwerken en op de underground market producten en diensten van elkaar kopen en huren.

Georganiseerde hackers groepen zijn inderdaad actief in ons land. Dit betekent echter niet dat de daders zich ook effectief op ons grondgebied bevinden.