SÉNAT DE BELGIQUE
________
Session 2016-2017
________
15 décembre 2016
________
SÉNAT Question écrite n° 6-1185

de Jean-Jacques De Gucht (Open Vld)

au ministre des Classes moyennes, des Indépendants, des PME, de l'Agriculture, et de l'Intégration sociale
________
Sites internet des pouvoirs publics - Sécurité des communications - Fuites - Amélioration de la sécurité - Mesures
________
Internet
criminalité informatique
protection des données
Pays-Bas
ministère
administration publique
site internet
________
15/12/2016Envoi question
18/1/2017Réponse
________
Aussi posée à : question écrite 6-1176
Aussi posée à : question écrite 6-1177
Aussi posée à : question écrite 6-1178
Aussi posée à : question écrite 6-1179
Aussi posée à : question écrite 6-1180
Aussi posée à : question écrite 6-1181
Aussi posée à : question écrite 6-1182
Aussi posée à : question écrite 6-1183
Aussi posée à : question écrite 6-1184
Aussi posée à : question écrite 6-1186
Aussi posée à : question écrite 6-1187
Aussi posée à : question écrite 6-1188
Aussi posée à : question écrite 6-1189
Aussi posée à : question écrite 6-1190
Aussi posée à : question écrite 6-1191
Aussi posée à : question écrite 6-1192
Aussi posée à : question écrite 6-1193
________
SÉNAT Question écrite n° 6-1185 du 15 décembre 2016 : (Question posée en néerlandais)

Les connexions vers de nombreux sites internet des pouvoirs publics néerlandais ne sont pas bien sécurisées. C'est ce qui ressort de l'étude réalisée par l'Open State Foundation, une organisation non lucrative qui « veut augmenter la transparence en politique ». On peut reconnaître une connexion sécurisée au petit cadenas qui apparaît dans le moteur de recherche.

L'organisation a examiné 1.816 sites internet des pouvoirs publics ; seuls 44 % d'entre eux ont des connexions sécurisées. 6 % ont effectivement une connexion sécurisée mais ne l'ont pas bien configurée, ce qui laisse la porte ouverte à des piratages.

La connexion vers le site internet de la Rijksrecherche n'est pas sécurisée. Cette section de la police néerlandaise mène des enquêtes sur les manquements commis par des fonctionnaires publics, notamment des collaborateurs de police. Jusqu'à la fin du mois de novembre 2016, quiconque dénonçait un manquement sur le site de la Rijksrecherche courait toutefois le risque que son message soit lu par d'autres personnes. Cela pouvait par exemple se faire par des bornes wifi publiques, comme dans le train, dans un hôtel ou dans un restaurant : la connexion était alors facile à intercepter.

Après que le site d'information néerlandais NOS a signalé la chose, le formulaire de dénonciation a été enlevé du site. Un porte-parole a fait savoir qu'il n'était temporairement plus possible de signaler des abus. Les citoyens qui ont des informations à communiquer peuvent encore téléphoner. On examine si des mesures de suivi sont nécessaires.

Même la page d'accueil du site internet de l'administration fiscale n'a pas de connexion sécurisée. L'accès au site de l'administration fiscale est bien sécurisé mais comme la page d'accueil ne l'est pas, un hacker peut forcer une connexion non sécurisée. Cela peut par exemple se faire en créant une fausse borne wifi dans une gare ou un autre endroit très fréquenté.

Ironie de la situation : la connexion du site officiel qui est censé promouvoir une administration consciente des dangers d'internet, n'est pas bien sécurisée.

L'étude concernait les pages d'accueil des sites internet publics ; il est possible que certaines parties des sites soient mieux sécurisées. Les experts en sécurité informatique conseillent toutefois de prévoir une connexion sécurisée pour l'ensemble du site internet. On peut reconnaître les sites non sécurisés à l'absence de cadenas dans le moteur de recherche.

De même, certains sites internet d'ambassades néerlandaises dans des pays où les droits fondamentaux de l'homme sont violés, ne sont pas sécurisés avec une connexion https en bon état de marche.

Une étude menée antérieurement sur les sites des pouvoirs publics dans notre pays a révélé des défauts similaires. Fedict, le service public fédéral Technologie de l'Information et de la Communication, a réagi en indiquant qu'il allait exécuter plus rapidement les mesures prévues pour améliorer le cryptage SSL.

Quant au caractère transversal de la question : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité pour la période 2016-2019 et ont fait l'objet d'un débat lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. La criminalité informatique est l'une des grandes priorités établies. Cette question concerne dès lors une compétence régionale transversale, les Régions intervenant surtout dans le volet préventif.

C'est pourquoi je souhaite vous poser les questions suivantes :

1) N'y a-t-il aucun risque de sécurité pour les sites internet des services publics fédéraux relevant de vos compétences ainsi que pour vos propres sites ? Pouvez-vous dresser la liste des sites dont vous avez la responsabilité ?

2) N'y a-t-il aucun risque, lorsque des utilisateurs se connectent via des bornes wifi, que l'on puisse lire les messages échangés avec des sites de services publics dont vous avez la responsabilité ? Pouvez-vous détailler votre réponse ?

3) Est-il vrai que parmi les sites internet des services publics qui utilisent effectivement une connexion https, il y en a encore un certain nombre qui sont configurés de telle sorte qu'ils présentent également un risque de sécurité ?

4) Pouvez-vous énumérer les sites officiels relevant spécifiquement de vos compétences en y incluant les sites des services publics fédéraux relevant de vos compétences et les sites des services extérieurs ?

5) Les mesures annoncées par le passé pour améliorer le cryptage SSL ont-elles effectivement été réalisées par Fedict sur tous les sites relevant de vos compétences ? Pouvez-vous fournir des explications concrètes à ce sujet ?

6) Pouvez-vous garantir qu'aucun des sites relevant de vos compétences ne travaille plus avec SSL-3 ? Le cas échéant, pouvez-vous expliquer votre réponse ?

7) Pouvez-vous énumérer concrètement les mesures qui ont déjà été prises depuis que l'étude réalisée sur les sites des services publics belges a mis en lumière certains défauts, en vue de sécuriser la connexion avec les sites internet des services publics ?

Réponse reçue le 18 janvier 2017 :

I. Agence fédérale pour la sécurité de la chaîne alimentaire (AFSCA) – Centre d’étude et de recherches vétérinaires et agrochimiques (CERVA)

A) AFSCA

Le contexte de la question permet de comprendre que la définition de « risque pour la sécurité » se concentre, dans la présente question parlementaire, sur « la sécurisation des échanges de données depuis et vers des sites web ». Il sera par conséquent répondu aux questions dans ce contexte.

1) L'AFSCA, pense que la sécurisation des échanges de données depuis et vers des sites web est suffisamment garantie.

L'AFSCA gère directement quatre dataflows accessibles via Internet :

À chaque fois un en « HTTP » et un en « HTTPS » pour :

favv-afsca.be ;

foodweb.be.

HTTP est uniquement employé pour les sites web avec des données accessibles au public. HTTPS est imposé pour les flows devant être sécurisés pour des données non publiques.

Vous trouverez ci-dessous une liste des URL :

Domaines / URL pour lesquels HTTPS doit être utilisé :

Domaines / URL pour lesquels HTTP peut être utilisé :

Pour *.favv-afsca.be, il s'agit de (remplacer * par le nom) :

Pour *.foodweb.be, il s'agit de (remplacer * par le nom) :

Tous les autres

 

esp-connect

login

extranet

afscafin

becert

boodsan

boxi

cdmomail

dsbrd

b2b-teste

eid

foodnet

foodweb

pwm

intracdmo

intralab

intranet

kraken

narval

stor2

operator

foodteste

protime

pswdmgmt

b2b-edu

vetmail

vibe

foodteste

bi4

intracontrol

b2cpub

scicom

jira

stats

finfood-edu

finfood-teste

owa

webmail

autodiscover

 

www

afscafin

becert   

eid

operator

finfood

 

De plus, les domaines Sanitel et afscafin sont respectivement hébergés par les firmes externes HPE et Smals. Leur sécurisation est sous-traitée sous la responsabilité du fournisseur selon le cahier des charges.

2) Le risque que la communication avec des sites de l'administration publique puisse être chargé lors de l'utilisation de hotspots n'est ni supérieur ni inférieur au risque lors de l'utilisation d'une propre connexion.

En effet, pour les sites web sensibles sur lesquels une session est ouverte, les échanges sont cryptés (HTTPS / gestion certificat) et il y a une politique des mots de passe. Pour les échanges vers des sites web via HTTP, des données pourraient être lues via le hotspot mais il s'agit ici aussi uniquement d'informations accessibles au public.

3) D'un point de vue technique, il reste un risque de sécurité potentiel par exemple par l'utilisation d'iframes HTTPS sur des pages HTTP. Cela permet l'injection d'iframe et de cette manière, un malware pourrait fonctionner ou des mots de passe pourraient être interceptés.

De telles techniques ne sont toutefois pas utilisées à l'AFSCA. L’Agence n'a pas non plus connaissance de telles techniques sur des sites d'autres organismes publics.

4) Étant donné que la configuration se fait déjà de manière centrale à l'AFSCA, cette liste est la même que celle de la réponse 1).

5) Fedict n'a pas dû entreprendre d'action pour les sites de l’Agence. L'AFSCA a elle-même implémenté cela en utilisant des certificats de QuoVadis.

Pour les sites hébergés à l'extérieur, l’AFSCA peut confirmer que :

HPE a implémenté cela pour l'environnement de test de Sanitel et l'implémente en ce moment pour l'environnement de production de Sanitel ;

la Smals l'a implémenté pour l'environnement Afscafin.

6) Ce protocole est encore uniquement utilisé pour le site de production de Sanitel (hébergé par HPE), comme indiqué dans la réponse à la question précédente.

7) Aucune mesure spécifique n'a été prise suite à l'étude en question.

Un certain nombre d'améliorations déjà prévues par l'AFSCA ont toutefois entre-temps été apportées :

renouvellement du Corporate Firewall avec plus de performance pour garder IPS (prévention d'intrusion) actif sans impact perceptible sur les flows utiles ;

sécurité accrue en déconnectant d'anciens protocoles / d'anciennes suites cryptographiques dans l'Internet Access Street de l'AFSCA.

B) CERVA

1) À partir du moment où un site web « public » est publié sur Internet, il existe des risques. Les seuls mesures qui peuvent être prises sont :

utiliser une connexion HTTPS via TL.S protocol ;

respecter les règles de base de sécurité et protéger les données sensibles via login, mot de passe, encryption, etc.(si ceux-ci doivent être disponible via Internet).

http://www.CODA-CERVA.be (HTTP et non pas HTTPS).

2) Il existe toujours des risques en offrant des accès de connexion via wifi-hotspot. À nouveau, les règles de base de la sécurité du réseau doivent être respectées par les administrateurs (sécurité au niveau des folders, fichiers et documents, etc.) et une protection contre les malwares (virus, Trojan, etc.) est nécessaire.

3) HTTPS avec utilisation des nouveaux protocoles (TLS 1.2) pour communiquer entre deux parties est certainement un très bonne solution ! Mais ce n’est pas tout, tout autre aspect dans le domaine de sécurité doit également être analysé / cartographié (par exemple : « Administrator password » doit respecter des conditions de sécurité très strictes, etc.).

Site du CERVA n’a actuellement pas de connexion HTTPS.

Il n’y a pas d’informations confidentielles qui sont sauvegardées sur le site web mais en ce qui concerne Extranet ce serait mieux (résultats analyses clients). Par ailleurs, il existe un processus login et mot de passe pour avoir accès à Extranet.

4) http://www.coda-cerva.be.

http://neonet.coda-cerva.be/Neonet/Login.aspx.

5) Pas de connections SSL.

6) Pas de connections SSL.

7) Le CERVA est actuellement en train de fusionner avec l’ISP (création SCIENSANO).

Dans ce cadre, le CERVA a déjà investi dans des « reverse proxies avec load balancing » pour être certain de pouvoir soutenir les derniers protocoles avec la possibilité d’actualisation (updates) des serveurs « production » durant les heures de travail.

II. Service public fédéral (SPF) Économie – DG Politique des petites et moyennes entreprises (PME)

En ce qui concerne le SPF Économie, PME, Classes moyennes et Énergie, je renvoie l’honorable membre vers la réponse apportée par mon collègue, le ministre de l’Économie, à la question écrite n° 6-1177.

III. Statut social des travailleurs indépendants

A) Institut national d’assurances sociales pour travailleurs indépendants (INASTI)

1) L'INASTI est responsable pour le site général de l'INASTI (www.rsvz.be / www.inasti.be / www.lisvs.be / www.nisse.be) et le site de la Caisse nationale auxiliaire (www.nationale-hulpkas.be / www.caisse-nationale-auxiliaire.be / www.nationale-hilfskasse.be / www.national-fund.be).

Ces sites ne font pas usage de SSL et ne contiennent que des informations publiques et librement accessibles concernant le statut social des travailleurs indépendants.

2) Sans objet. Voir réponse à la question 1).

3) Sans objet. Voir réponse à la question 1).

4) Voir réponse à la question 1).

5) Sans objet. Voir réponse à la question 1).

6) Sans objet. Voir réponse à la question 1).

7) Sans objet. Voir réponse à la question 1).

B) SPF Sécurité sociale – DG Indépendants

Je ne dispose pas des données demandées pour la DG Indépendants du SPF Sécurité sociale. En effet, je ne suis compétent que sur le plan de la matière.

Pour toutes les autres questions (personnel, logistique, budget, ICT, etc.) relatives au SPF Sécurité sociale, et donc aussi pour la DG Indépendants, c’est la ministre des Affaires Sociales qui est compétente.

IV. Service public de programmation (SPP) Intégration sociale

1) Mon administration, le SPP Intégration sociale, gère actuellement un seul site web, dans le domaine mi-is.be, à l’adresse www.mi-is.be.

Depuis plusieurs années, et certainement dans sa dernière version actuellement en ligne, ce site est protégé par une connexion encryptée de type HTTPS.

Plus précisément, cette connexion sécurisée utilise un algorithme d’encryptage SHA-2 (sha256) d’un très haut degré de sécurité (abandon de SHA-1 cette année).

Par ailleurs, le site web du SPP Intégration sociale est hébergé sur une plateforme technologique gérée par FEDICT et les sous-traitants qu’il désigne, tant pour l’infrastructure technologique que pour la maintenance applicative.

Fast2web est la solution Fedict pour la création de sites web basés sur Drupal. Ceci comprend d’une part l’hébergement, le support aux rédacteurs et la plate-forme et d’autre part, des fonctionnalités CMS, Search et statistiques.

Le site du SPP Intégration sociale bénéficie donc de toutes les mesures de sécurité contre les intrusions ou les attaques DOS prises par les services fédéraux pour protéger la plateforme Fast2web et répond aux critères avancés de sécurité défendus par FEDICT.

2) Profiter d’un wifi non protégé (type hotspot) pour capter une communication entre un utilisateur et le site web est impossible en raison de l’encryptage de la connexion HTTPS (voir ci-dessus).

Par ailleurs, les possibilités d’envoi d’informations d’un utilisateur vers le site web du SPP Intégration sociale sont actuellement très limitées, aucune donnée à caractère personnelle n’étant échangée par ce moyen.

3) La connexion HTTPS du site du SPP Intégration sociale repose sur un encryptage de classe SHA-2 (voir ci-dessus) qui offre actuellement le plus haut degré de sécurité pour le type de transaction utilisé sur son site.

4) Le SPP Intégration sociale n’a pour le moment la gestion que d’un seul site : www.mi-is.be.

5) Le site du SPP Intégration sociale étant hébergé par FEDICT sur sa plateforme que partagent d’autres sites fédéraux dans le cadre de Fast2web (voir ci-dessus), la gestion de la sécurité des sites hébergés sur cette plateforme fait l’objet d’adaptations continues par les sous-traitants désignés par le SPF.

6) La connexion au site www.mi-is.be n’utilise pas le protocole SSL 3 mais bien un protocole supérieur (TLS 1.2).

7) FEDICT qui est l’hébergeur et fournisseur de services Internet du SPP Intégration sociale a renforcé et renforce de manière continue la sécurité de la connexion au site web du SPP Intégration sociale. Récemment encore par exemple, des adaptations ont été réalisées pour améliorer la sécurité du réseau FEDMAN et de tous les systèmes qui l’utilisent, contre notamment les attaques DOS (Denial Of Service) qui en 2016 ont bloqués les sites fédéraux pendant quelques heures.

V. Régulation ferroviaire

Le site web du service de Régulation est un site statique qui ne prévoit pas de possibilité de « login » par des tiers.

L’unique connexion comme administrateur est sécurisé par un nom d’usager et un mot de passe. Aucune autre mesure de sécurisation n’est prévue.

En ce qui concerne le Service de sécurité et d'interopérabilité des chemins de fer (SSICF) et l'Organisme d’enquête, ils ne disposent pas de site propre et sont par conséquent hébergés sur le site du SPF Mobilité & Transport. Je vous renvoie pour ces deux organismes vers la réponse du ministre de la Mobilité à la question écrite n° 6-1189.