|
|
Smartphones - Logiciels de harcèlement - Vie privée - Espionnage - Chiffres et tendances
téléphone mobile
espionnage
logiciel
harcèlement (stalking)
protection de la vie privée
statistique officielle
sûreté de l'Etat
sensibilisation du public
| 27/10/2021 | Envoi question (Fin du délai de réponse: 25/11/2021) |
| 21/12/2021 | Réponse |
Aussi posée à : question écrite 7-1388
L'installation de logiciels de harcèlement (stalkerware) sur les smartphones est en constante progression. Entre septembre 2020 et mai 2021, le nombre total d'appareils infectés par un logiciel de harcèlement a connu une hausse de 63 %. C'est ce qui ressort des chiffres publiés par l'entreprise américaine de cybersécurité NortonLifeLock (https://www.nortonlifelock.com/blogs/norton labs/stalkerware rise). Aux Pays-Bas, ce nombre a atteint plus de 6.500 infections en 2019, alors qu'il n'y en avait encore que quelques centaines l'année précédente (https://www.demorgen.be/tech wetenschap/stalkerware is bezig aan snelle opmars zo bescherm je jezelf~b3879aa4/). Pour la Belgique, on manque de chiffres fiables.
Les différents logiciels de harcèlement collectent différents types d'informations. Certains enregistrent les conversations téléphoniques, d'autres font un relevé des frappes et d'autres encore tracent la localisation ou copient les photos d'une personne vers un serveur externe, mais ils fonctionnent tous globalement de la même manière. Le principe est qu'une personne malintentionnée installe l'application sur le téléphone de la victime et la déguise en petit logiciel ordinaire, telle qu'une application agenda.
L'application enregistre toutes les données en arrière-plan. Les informations sont ensuite envoyées à l'adresse e-mail du harceleur ou peuvent être téléchargées à partir d'un site internet. Parfois aussi, le harceleur qui connaît le code d'accès du smartphone de la victime peut tout simplement déverrouiller l'appareil pour ouvrir le logiciel harceleur et y examiner les données enregistrées.
La plupart de ces applications sont disponibles sur le Play Store de Google et aussi de plus en plus sur l'App Store d'Apple. Elles sont le plus souvent utilisées sur des téléphones Android, en raison de la nature open source de leur système d'exploitation.
L'essor des logiciels de harcèlement inquiète surtout les experts en ce qu'il rend l'espionnage au moyen d'un smartphone nettement plus accessible. Les applications paraissent légales, sont faciles à installer et proposent même parfois un helpdesk.
En termes de légalité, de telles applications se trouvent dans une zone grise. Elles peuvent être légitimes, par exemple lorsqu'elles font office d'outil de contrôle parental sur le smartphone, auquel cas elles se présentent comme des " logiciels de monitoring ". Cette dénomination est toutefois trompeuse, car le logiciel de harcèlement est bien davantage qu'un simple logiciel de monitoring. Avec un logiciel de monitoring, l'utilisateur du smartphone reçoit de temps en temps un message lui indiquant qu'il est surveillé, ce qui n'est pas le cas avec un logiciel de harcèlement. Il s'agit donc d'une violation de la vie privée. De nombreuses sociétés qui développent ces applications se trouvent donc à la limite de l'illégalité.
La plupart de ces sociétés se situent aux États-Unis, où on est avide de ce genre d'applications.
Les experts mettent en garde contre la difficulté à détecter les logiciels de harcèlement. Bien que les applications de ce genre aient déjà été supprimées plusieurs fois du Play Store, certaines y restent obstinément présentes. Certaines applications changent simplement de nom après leur bannissement. Quoi qu'il en soit, le succès grandissant de pareils logiciels représente un risque pour notre sécurité et notre vie privée à tous.
En ce qui concerne le caractère transversal de la présente question : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui devront être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la note-cadre de sécurité intégrale et dans le plan national de sécurité 2016-2019 et ont été discutés lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Il s'agit d'une matière transversale qui relève également des Régions, le rôle de ces dernières se situant surtout dans le domaine de la prévention.
J'aimerais dès lors soumettre au ministre les questions suivantes :
1) Les instances officielles disposent-elles de statistiques sur ce phénomène ? A-t-il déjà fait l'objet de déclarations à la police ? Si oui, de combien de déclarations s'agit-il et en quelles années ont-elles été faites ? Des tendances ont-elles été observées ?
2) Dans quelle mesure la Sûreté de l'État et les services de police sont-ils conscients de ce phénomène ? Ont-ils déjà eu affaire à ces logiciels et aux problèmes de sécurité qu'ils entraînent ?
3) Des procès ont-ils déjà été intentés au sujet de ces logiciels ? Si oui, combien au cours des trois dernières années ?
4) Sait-on si des applications de ce type ont déjà été utilisées par des services de sécurité étrangers ou à des fins d'espionnage ? Si oui, au cours de quelles années et par quels pays ?
5) De quelle section de la Sûreté de l'État la surveillance de pareils logiciels relève-t-elle ? La question de ces logiciels nécessite-t-elle un nouveau cadre légal ?
6) Selon vous, quels sont les groupes cibles les plus vulnérables à ces pratiques ?
7) Connaît-on des cas d'entreprises belges qui distribuent de tels logiciels ? Dans quelle mesure est-ce légal ?
8) Selon vous, que pourrait faire la Belgique pour lutter au mieux contre ce type d'applications ? L'aide de l'Europe pourrait-elle être utile en la matière ?
9) Comment pourrait-on inciter les boutiques d'applications et les fabricants de smartphones à durcir l'encadrement de ces applications dangereuses ?
10) Comment les citoyens peuvent-ils se protéger ? Jugez-vous nécessaire d'organiser une campagne d'information ou une autre action de ce genre ?
1) Pour cette réponse, je vous renvoie vers ma collègue, la ministre de l’Intérieur, à qui cette question a également été posée.
2) La VSSE est bien consciente que les applications de traçage sur les appareils mobiles peuvent jouer un rôle dans les menaces que le service surveille, notamment en matière d’espionnage. Les logiciels de harcèlement («stalkerware») dont il est question requièrent un accès physique à l’appareil et la connaissance du mot de passe pour pouvoir installer l’application. Le succès des logiciels de harcèlement repose sur le fait que la victime ne sait pas qu’une personne (disposant d’un accès à l’appareil) a installé cette application sur son smartphone. Ces logiciels peuvent passer pour des applications anodines mais ne sont pas invisibles (et peuvent donc être détectés). Ces éléments rendent les logiciels de harcèlement moins adaptés aux menaces d’espionnage des acteurs étatiques que la VSSE surveille. Dans ce contexte, le logiciel malveillant espion doit pouvoir atteindre l’appareil de la cible de manière masquée et sans accès physique ni connaissance du mot de passe (par exemple «zero click exploit»). Le but sera également de rendre ce logiciel malveillant indécelable même dans le cadre d’une analyse judiciaire approfondie. Le logiciel espion semble dès lors plutôt jouer un rôle dans la sphère privée, par exemple dans le cadre d’une relation tourmentée entre époux ou partenaires, de harcèlement ou de violence intrafamiliale.
3) Sur la base de la banque de données du Collège des procureurs généraux, il n’est pas possible de distinguer les affaires relatives aux logiciels de harcèlement des autres formes de cybercriminalité. Les analystes statisticiens du Ministère public ne sont donc pas en mesure de fournir des éléments de réponse pour cette question parlementaire.
4) La VSSE n’a pas encore constaté de recours à des logiciels de harcèlement en Belgique par des services de renseignement étrangers.
5) Les logiciels de harcèlement ne font pas l’objet d’un monitoring continu par la VSSE. Leurs applications semblent relever davantage d’un domaine dont le suivi est assuré par la police. Je renvoie donc à la compétence de ma collègue, la ministre de l’Intérieur, à qui cette question a également été posée.
En réponse aux autres questions, je vous renvoie à l’expertise:
– du Centre pour la cybersécurité en Belgique (CCB), l’autorité nationale pour la cybersécurité en Belgique, qui relève de la compétence de mon collègue, premier ministre;
– du Centre de crise national (NCCN), chargé de la sécurité des infrastructures critiques, qui relève de la compétence de ma collègue, ministre de l’Intérieur, à qui cette question a également été posée.