SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2021-2022 Zitting 2021-2022
________________
27 octobre 2021 27 oktober 2021
________________
Question écrite n° 7-1392 Schriftelijke vraag nr. 7-1392

de Rik Daems (Open Vld)

van Rik Daems (Open Vld)

à la ministre de l’Intérieur, des Réformes institutionnelles et du Renouveau démocratique

aan de minister van Binnenlandse Zaken, Institutionele Hervormingen en Democratische Vernieuwing
________________
Cryptographie - Ordinateurs quantiques - Vie privée - Espionnage - Chiffres et tendances Cryptografie - Quantumcomputers - Privacy - Spionage - Cijfers en tendensen 
________________
cryptographie
protection des données
protection de la vie privée
ordinateur
sécurité des systèmes d'information
codering van informatie
gegevensbescherming
eerbiediging van het privé-leven
computer
informatiebeveiliging
________ ________
27/10/2021 Verzending vraag
(Einde van de antwoordtermijn: 25/11/2021 )
25/11/2021 Antwoord
27/10/2021 Verzending vraag
(Einde van de antwoordtermijn: 25/11/2021 )
25/11/2021 Antwoord
________ ________
Aussi posée à : question écrite 7-1391 Aussi posée à : question écrite 7-1391
________ ________
Question n° 7-1392 du 27 octobre 2021 : (Question posée en néerlandais) Vraag nr. 7-1392 d.d. 27 oktober 2021 : (Vraag gesteld in het Nederlands)

Il ressort d'une brochure récente de l'AIVD, le service néerlandais des renseignements généraux et de la sécurité, que l'arrivée des ordinateurs quantiques représente une menace pour notre vie privée (https://www.aivd.nl/documenten/publicaties/2021/09/23/bereid je voor op de dreiging van quantumcomputers).

Depuis des décennies déjà, on sait qu'il sera possible d'exploiter les connaissances issues de la mécanique quantique pour attaquer, au moyen d'un ordinateur quantique, la cryptographie asymétrique qui est la plus couramment utilisée. Les ordinateurs quantiques seraient capables de déchiffrer tous les fichiers cryptés possibles et imaginables.

Selon les experts, il y a un risque, certes faible mais réel, qu'en 2030, les ordinateurs quantiques seront suffisamment puissants pour craquer les normes cryptographiques actuelles. Mais le danger est déjà bien présent. En effet, les données que l'on crypte, que l'on transmet ou que l'on stocke aujourd'hui peuvent être interceptées et pourront être déchiffrées demain par un ordinateur quantique. Il faut donc commencer dès maintenant à crypter les données qui seront toujours sensibles et confidentielles en 2030 afin de protéger celles-ci contre les attaques d'un ordinateur quantique.

Le Bureau national néerlandais pour la protection des connexions (NBV) recommande dès lors l'utilisation de la cryptographie post-quantique (PQC) en combinaison avec un algorithme asymétrique existant (construction hybride). Il y voit un moyen de protection efficace contre les attaques des ordinateurs quantiques. Aux États-Unis, l'Institut national des normes et de la technologie (NIST) a lancé dès 2016 une procédure ouverte en vue de l'élaboration de normes internationales. Ces normes sont attendues aux alentours de 2024.

Outre la technologie PQC, le NBV recommande d'autres méthodes de cryptage : la cryptographie symétrique et la distribution quantique de clé (QKD).

La cryptographie symétrique (comme AES) permet de rendre les informations moins vulnérables face aux attaques d'un ordinateur quantique. La distribution quantique de clé (QKD) échange des clés numériques au moyen de techniques issues de la mécanique quantique. Cette méthode d'échange de clés permet de détecter systématiquement toute écoute par un tiers.

Si l'on veut migrer vers un dispositif offrant une protection contre les ordinateurs quantiques, on ne doit pas le faire trop tôt car cela risque de coûter beaucoup de temps et d'argent. Mais il ne faut pas trop tarder non plus au vu du risque auquel les données sensibles sont exposées. C'est pourquoi le NBV recommande d'élaborer dès maintenant une stratégie de migration.

En ce qui concerne le caractère transversal de la présente question : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui devront être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la note-cadre de sécurité intégrale et dans le plan national de sécurité 2016-2019 et ont été discutés lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Il s'agit donc d'une matière transversale qui relève également des Régions, le rôle de ces dernières se situant surtout dans le domaine de la prévention.

Je souhaiterais dès lors poser les questions suivantes au ministre :

1) Dans quelle mesure les données sensibles cryptées des services publics sont-elles protégées pour le futur? A-t-on conscience du danger que représentent les ordinateurs quantiques à moyen terme ? Si oui, quelles mesures ont déjà été prises ? Si non, pourquoi ?

2) A-t-on déjà une idée de la menace que l'informatique quantique pourrait faire peser sur notre sécurité ? Des mesures ont-elles déjà été prises pour renforcer le cryptage des données sensibles ?

3) D'après les estimations, combien de documents et de fichiers des pouvoirs publics seraient vulnérables en l'absence de migration vers un dispositif de cryptage qui soit à l'épreuve des ordinateurs quantiques ?

4) La sécurisation des canaux de communication sensibles par des niveaux de protection supplémentaires est-elle une priorité? Pourquoi oui/non ? Pensez-vous que le système de protection actuel sera encore opérationnel après cinq ans ? Et qu'en sera-t-il après dix ans ?

5) Est-il prévu de renforcer la sécurité TIC pour des cibles stratégiquement sensibles (centrales nucléaires, hôpitaux, universités, trains, etc.) dans le cadre des évolutions à venir ?

6) Comment peut-on informer les citoyens à ce sujet ? Que peuvent-ils faire eux-mêmes pour mieux se protéger dans ce domaine ?

7) Les services compétents ont-ils élaboré une stratégie de migration pour les fichiers, comme c'est le cas aux Pays-Bas ? Si oui, quelle est cette stratégie ? Quelles directives seront appliquées à cet égard ? Comment procédera-t-on ? Des budgets ont-ils été prévus? Quels sont les documents et les services qui bénéficieront de la priorité en termes de cryptage au sein des pouvoirs publics et des services de sécurité? Si ce n'est pas le cas, pourquoi ?

 

Uit een recente brochure van de Nederlandse AIVD blijkt dat er in de toekomst een gevaar bestaat voor onze privacy door de komst van quantumcomputers (https://www.aivd.nl/documenten/publicaties/2021/09/23/bereid-je-voor-op-de-dreiging-van-quantumcomputers).

Al tientallen jaren is bekend dat inzichten uit de quantummechanica gebruikt kunnen worden om de meest gebruikte asymmetrische cryptografie aan te vallen met een quantumcomputer. Deze computers zouden alle mogelijke bestaande versleutelde bestanden kunnen ontcijferen.

Experts achten de kans klein maar reëel dat quantumcomputers in 2030 al krachtig genoeg zullen zijn om de huidige cryptografische standaarden te breken. Tot die tijd zijn er ook risico's voor de huidige cryptografie. De data die je nu versleutelt, verstuurt of opslaat, kunnen onderschept worden en later met een quantumcomputer ontcijferd worden. Gegevens die in 2030 nog steeds gevoelig zijn en geheim moeten blijven, moeten daarom nu al versleuteld worden met cryptografie die beschermt tegen aanvallen met een quantumcomputer.

Het Nederlands Nationaal Bureau voor Verbindingsbeveiliging (NBV) adviseert daarom het gebruik van Post-Quantum Cryptografie (PQC) in combinatie met een bestaand asymmetrisch algoritme (hybride constructie). Zij zien het als een goede manier om je te beveiligen tegen aanvallen door quantumcomputers. Het National Institute of Standards and Technology (NIST) van de VS is al in 2016 begonnen met een open proces om internationale standaarden te krijgen. Deze standaarden worden rond 2024 verwacht.

Naast de PQC-technologie raadt het NBV alternatieve encryptiemethodes aan: Symmetrische cryptografie en Quantum Key Distribution (QKD).

Met symmetrische cryptografie (zoals AES) is je informatie minder kwetsbaar voor aanvallen met een quantumcomputer. Quantum Key Distribution (QKD) wisselt digitale sleutels uit met technieken uit de quantummechanica. Bij deze manier van sleuteluitwisseling wordt het meeluisteren door een derde partij altijd gesignaleerd.

Te vroeg overgaan naar een quantumveilige oplossing kan veel tijd en geld kosten. Maar te laat is ook geen optie door het risico dat je gevoelige informatie kwetsbaar is. Daarom adviseert het NBV om nu alvast een migratiestrategie uit te werken.

Wat betreft transversaal karakter: De verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de kadernota integrale veiligheid en het nationaal veiligheidsplan voor de periode 2016-2019, en werden besproken tijdens een interministeriële conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft aldus een transversale Gewestaangelegenheid waarbij de rol van de gewesten vooral ligt in het preventieve luik.

Graag had ik dan ook volgende vragen voorgelegd aan de geachte minister:

1) In hoeverre zijn de gevoelige versleutelde data van de overheidsdiensten future-proof beveiligd? Is men zich bewust van het gevaar van quantumcomputers op middellange termijn? Zo ja, welke maatregelen heeft men reeds hiertegen genomen? Zo nee, waarom niet?

2) Heeft men reeds kennis genomen van de mogelijke dreiging die quantumcomputing met zich meebrengt voor onze veiligheid? Zijn er al stappen gezet om gevoelige data extra te versleutelen?

3) Hoeveel documenten en bestanden van de overheid verwacht zullen kwetsbaar worden indien men niet overschakelt naar quantum-proof versleuteling?

4) Is het een prioriteit om gevoelige communicatiekanalen te beveiligen met extra beveiligingslagen? Waarom wel/niet? Verwacht u dat de huidige beveiliging nog bruikbaar zal zijn na vijf jaar? Wat na tien jaar?

5) Zijn er plannen om de ICT-beveiliging te verhogen bij strategisch gevoelige doelwitten (kerncentrales, ziekenhuizen, universiteiten, treinen etc.) in het kader van deze toekomstige ontwikkelingen?

6) Hoe kan men de burgers hierover informeren? Wat kunnen de mensen zelf doen om zich beter te beveiligen hieromtrent?

7) Hebben de bevoegde diensten een migratiestrategie voor de bestanden uitgewerkt zoals in Nederland? Zo ja, welke strategie is dit? Volgens welke richtlijnen zal men werken? Hoe zal men dit doen? Zijn er budgetten voor voorzien? Welke documenten en diensten van de overheid en de veiligheidsdiensten zullen voorrang krijgen om versleuteld te worden? Zo nee, waarom niet?

 
Réponse reçue le 25 novembre 2021 : Antwoord ontvangen op 25 november 2021 :

Cette question parlementaire ne relève pas de mes compétences mais de la compétence du premier ministre de qui dépend le Centre for Cyber Security Belgium.

J’informe également l’honorable membre, qu’en réponse à cette question, je me réfère aussi à la réponse à la question no 7-1391 adressée au vice-premier ministre et ministre de la Justice et de la Mer du Nord.

Deze parlementaire vraag valt niet onder mijn bevoegdheden maar behoort tot die van de eerste minister, aan wie het Centre for Cyber Security Belgium rapporteert.

Ik deel ook het geachte lid mee dat ik voor het antwoord op de vraag verwijs ook naar het antwoord op vraag 7-1391 gesteld aan de vice-eersteminister en minister van Justitie en Noordzee.