5-141

5-141

Sénat de Belgique

Annales

JEUDI 20 FÉVRIER 2014 - SÉANCE DE L'APRÈS-MIDI

(Suite)

Questions orales

Question orale de M. Benoit Hellings au ministre des Entreprises publiques et de la Coopération au développement, chargé des Grandes Villes sur «la cybersécurité et la protection de la vie privée des clients de swing.be» (no 5-1326)

M. Benoit Hellings (Ecolo). - La presse fait état depuis plusieurs jours de la rocambolesque revente par Belgacom/Skynet du nom de domaine swing.be. Depuis l'an 2000, Belgacom assume en propre les services d'hébergement web et de messagerie électronique de swing.be, destinés à une clientèle résidentielle et aux très petites entreprises.

Le 31 août 2012, Belgacom/Skynet a cédé la propriété du nom de domaine swing.be à une entreprise tierce, mais jamais ses clients n'ont été prévenus ni de ce changement de propriétaire ni d'une éventuelle fin prochaine de ces services.

La presse a rapporté un gentleman's agreement entre le nouveau propriétaire de ce nom de domaine et Belgacom faisant en sorte qu'une partie des communications électroniques transmises vers swing.be soit renvoyée vers les serveurs de l'entreprise publique. Or, à partir du moment où le changement de propriété de ce nom de domaine est effectif auprès de DNS Belgium, l'organisme chargé de la gestion des noms de domaines «.be », le nouveau propriétaire est techniquement et surtout juridiquement capable de modifier l'acheminement des communications électroniques des clients de swing.be vers d'autres serveurs que ceux de Skynet/Belgacom. C'est d'ailleurs ce qui s'est produit pendant plusieurs heures le 19 décembre dernier, lorsque le nouveau propriétaire de swing.be a, semble-t-il, modifié le lien entre swing.be et les serveurs de Belgacom.

Il apparaît donc que Belgacom n'a pas anticipé les conséquences techniques et surtout juridiques de la revente de ce nom de domaine. Alors qu'une importante faille de sécurité est apparue il y a quelques mois sur les serveurs d'autres filiales de l'entreprise publique de télécommunication, cette nouvelle affaire appelle plusieurs questions.

Monsieur le ministre, pouvez-vous me préciser combien de clients de Belgacom possèdent encore une adresse swing.be ? Par ailleurs, comment Belgacom - qui n'a toujours pas prévenu ses clients swing.be de la fin des services en question - a-t-elle assuré et assurera-t-elle le respect de la vie privée et la cybersécurité de ses clients swing.be, alors qu'elle n'est plus propriétaire de ce nom de domaine et, dès lors, de ses prérogatives techniques et juridiques y afférentes ?

M. Jean-Pascal Labille, ministre des Entreprises publiques et de la Coopération au développement, chargé des Grandes Villes. - La cybersécurité et la protection de la vie privée ne relèvent pas de la compétence du ministre des Entreprises publiques, Il en est de même des services commerciaux d'hébergement web et de messagerie électronique. Belgacom me communique cependant les éléments d'information suivants.

Environ 1 300 clients de Belgacom disposent encore à l'heure actuelle d'une adresse swing.be. Belgacom et le nouveau propriétaire du nom de domaine ont conclu un accord afin de préserver les paramètres existants qui sécurisent les données et le contenu des mails des clients de Belgacom jusqu'à la fin d'une période transitoire permettant à ces derniers de trouver une alternative. Belgacom m'informe avoir par ailleurs initié une campagne de communication afin d'inviter ses clients à créer une nouvelle adresse skynet.be.

M. Benoit Hellings (Ecolo). - Monsieur le ministre, je vous remercie de votre réponse. J'espère que les 1 300 personnes concernées ont bien entendu ce que vous avez dit.

Une politique commerciale réelle et un vrai protocole de sécurité consistent avant tout à supprimer le service e-mail, le service d'hébergement, après en avoir informé les clients concernés.

En l'occurrence, rien n'a été fait et, selon mes dernières informations, les clients n'ont toujours pas été prévenus. Or ils doivent l'être avant la vente du nom du domaine à un tiers. Il s'agit aussi de mesurer toutes les conséquences juridiques et techniques de cette vente.

Un tiers s'est effectivement immiscé entre Belgacom et les clients swing.be. Techniquement, le nouveau propriétaire peut à tout moment interrompre le lien entre le client swing et Belgacom.

Eu égard à votre réponse, je m'inquiète considérablement sur l'état de la cybersécurité de l'entreprise publique, monsieur le ministre, alors que celle-ci est priée de réagir à une cyberattaque de la NSA ou du GCHQ britannique.

Ce sont des équipes de bras cassés ou de pieds nickelés qui gèrent le service commercial et la sécurité chez Belgacom. Aujourd'hui, 1 300 personnes subissent les conséquences d'une bourde, ou plutôt d'une véritable faute, de ces équipes qui ont revendu un nom de domaine ou ne l'ont pas renouvelé, mettant ainsi la cybersécurité et la vie privée de 1 300 personnes sur le carreau.