SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2012-2013 Zitting 2012-2013
________________
13 mai 2013 13 mei 2013
________________
Question écrite n° 5-8995 Schriftelijke vraag nr. 5-8995

de Nele Lijnen (Open Vld)
van Nele Lijnen (Open Vld)

au secrétaire d'État à la Fonction publique et à la Modernisation des Services publics, adjoint au ministre des Finances et du Développement durable, chargé de la Fonction publique
aan de staatssecretaris voor Ambtenarenzaken en Modernisering van de Openbare Diensten, toegevoegd aan de minister van Financiën en Duurzame Ontwikkeling, belast met Ambtenarenzaken
________________
Cybercriminalité - Cyberattaques ciblées - Sites web de l'administration fédérale - Technique du point d'eau (watering hole) – Sécurisation- Restrictions Cybercrime - Gerichte cyberaanvallen - Websites van de federale overheid - Wateringhole-techniek - Beveiliging - Restricties 
________________
criminalité informatique
administration électronique
protection des données
piratage informatique
site internet
administration centrale
virus informatique
 computercriminaliteit
elektronische overheid
gegevensbescherming
computerpiraterij
internetsite
centrale overheid
computervirus
________ ________
13/5/2013Verzending vraag
12/6/2013Antwoord
13/5/2013Verzending vraag
12/6/2013Antwoord
________ ________
Aussi posée à : question écrite 5-8991
Aussi posée à : question écrite 5-8992
Aussi posée à : question écrite 5-8993		 Aussi posée à : question écrite 5-8991
Aussi posée à : question écrite 5-8992
Aussi posée à : question écrite 5-8993
________ ________
Question n° 5-8995 du 13 mai 2013 : (Question posée en néerlandais) Vraag nr. 5-8995 d.d. 13 mei 2013 : (Vraag gesteld in het Nederlands)

Dans un rapport récent, l'entreprise américaine Symantec a indiqué que le nombre de cyberattaques ciblées avait augmenté de 42 % en 2012. Ces attaques visent principalement à s'emparer de droits intellectuels et ce sont surtout les petites et moyennes entreprises (PME), les industries et le secteur public qui sont attaqués. Si l'objectif des criminels n'est pas de voler à tout prix les informations de ces entreprises, ces dernières sont utilisées pour permettre aux criminels de s'attaquer à de plus grosses entreprises ou à l'administration et ce, par le biais de la technique du point d'eau. Un cybercriminel implante un agent malicieux dans un site web fréquemment visité par les utilisateurs qu'il veut atteindre. De cette manière, sans se douter de rien, les utilisateurs installent, par exemple, un cheval de Troie ou un logiciel malveillant. Ensuite, le cybercriminel peut s'introduire dans l'ordinateur ou le site web de l'organisation qu'il visait. L'entreprise dont le site web est attaqué n'est donc qu'un intermédiaire ignorant. Il est tout à fait possible que les criminels volent également par la même occasion les données bancaires ou les droits intellectuels des entreprises par exemple . L'objectif n'est donc pas de faire un maximum de victimes mais d'atteindre quelques cibles très spécifiques.

Les entreprises ignorent le rôle qu'elles jouent dans ce processus. Elles pensent que les cybercriminels les laissent tranquilles et s'attaquent plutôt à l'administration ou à des multinationales. Ce n'est donc pas le cas. Aux États-Unis, la première victime ne sont plus les pouvoirs publics mais le secteur industriel. Lorsque des criminels ont besoin de données (par exemple, des données bancaires, des contrats, des données personnelles,...), ils ne s'attaquent pas aux grosses entreprises mieux sécurisées mais à de plus petites qui collaborent étroitement avec elles et disposent donc de nombreuses données à leur sujet. C'est la raison pour laquelle ce ne sont pas les dirigeants de ces entreprises qui sont attaqués mais l'administration qui a accès aux documents.

Je souhaiterais poser au ministre les questions suivantes :

1) Par le passé, des sites web de l'administration fédérale ont-ils déjà été victimes de la technique du point d'eau lors d'infractions dont l'administration était la cible ? Des sites web de l'administration ont-ils déjà été utilisés comme « intermédiaires » ou le ministre a-t-il connaissance de cas où les ordinateurs de l'administration ont été contaminés après avoir visité un site web contaminé ?

2) Dans l'affirmative, la réponse peut-elle être étayée par des chiffres portant sur les cinq dernières années ?

3) Dans la négative, les services chargés de la sécurité de ces sites web sont-ils en mesure de constater des infractions telles que la technique dite du point d'eau ?

4) Est-il très courant au sein de l'administration de limiter le nombre de sites web à visiter ou bien le personnel peut-il couramment visiter à peu près tous les sites ? Le ministre peut-il détailler sa réponse ?

5) Si des restrictions sont imposées, est-ce pour des raisons de cybersécurité ou dans l'intérêt de la productivité ?

6) Est-il courant au sein de l'administration de réinitialiser régulièrement le mot de passe des ordinateurs, ce qui oblige l'utilisateur à en choisir un nouveau ? Les ministres/secrétaires d'État sont-ils partisans de cette pratique ?

7) Lorsque l'on découvre sur un ordinateur de l'administration un cheval de Troie, un logiciel malveillant ... susceptible de révéler des (risques d') infractions, la pratique générale est-elle de créer un nouveau mot de passe pour cet ordinateur ?

 

In een recent rapport stelt het Amerikaanse bedrijf Symantec dat het aantal gerichte cyberaanvallen in 2012 met 42% is toegenomen. Het hoofddoel van deze aanvallen is het stelen van intellectuele eigendom, waarbij kmo's, de industrie en de overheidssector vooral aangevallen worden. Is het doel van de criminelen niet per se om info te stelen van die bedrijven, dan fungeren de bedrijven als slachtoffer in een poging om grotere bedrijven of de overheid aan te vallen. Dit via de zogenaamde "watering hole" techniek. Een cybercrimineel plant hierbij een "exploit" op een gekozen website die veel bezocht wordt door gebruikers van de site die hij eigenlijk wil treffen. Nietsvermoedende bezoekers van de geïnfecteerde site installeren zo bijvoorbeeld een "trojan" of "malware". Vervolgens kan de crimineel in de pc's of de website van de organisatie die hij eigenlijk wilde binnendringen. Het bedrijf waarvan de website wordt aangevallen is dus slechts een onwetende tussenpersoon. Het is zeer goed mogelijk dat de criminelen in een adem ook bijvoorbeeld bankgegevens of intellectuele eigendommen stelen van de bedrijven. Het doel is dus niet om zoveel mogelijk slachtoffers te maken, wel om enkele zeer specifieke targets te bereiken.

Bedrijven hebben aldus geen weet van hun rol in dit proces. Ze denken dat cybercriminelen hen met rust laten en eerder de overheid of multinationals aanvallen. Dit klopt dus niet. In de Verenigde Staten (VS) is niet langer de overheid, wel de nijverheidssector het primaire slachtoffer. Wanneer criminelen gegevens (bijvoorbeeld bankgegevens, contracten, persoonlijke gegevens, …) nodig hebben, vallen ze niet de beter beveiligde grote bedrijven aan, maar wel de kleinere die nauw met hen samenwerken en dus veel gegevens over hen hebben. Om die reden worden ook niet de leiders van deze bedrijven aangevallen, maar wel de administratie die toegang heeft tot de documenten.

Graag had ik de ministers/staatssecretaris volgende vragen gesteld:

1) Zijn in het verleden al websites van de federale overheid het slachtoffer geworden van de zogenaamde "watering hole" techniek, waarbij de overheid het target was? Zijn websites van de federale overheid reeds gebruikt als "tussenpersoon", of zijn gevallen bekend waarbij overheidspc's werden besmet na het bezoeken van een besmette website?

2) Zo ja, kan dit worden toegelicht met cijfers over de afgelopen vijf jaar?

3) Zo niet, zijn de diensten die waken over de veiligheid van deze websites in staat om dergelijke inbreuken zoals de watering hole techniek vast te stellen?

4) Is het een wijdverspreide praktijk bij de overheid om het aantal te bezoeken websites te beperken, of kan het overheidspersoneel in het algemeen zowat alle websites bezoeken? Kan dit worden toegelicht?

5) Indien er restricties zijn, is dit omwille van de cyberveiligheid of de productiviteit?

6) Is het een wijdverspreide praktijk bij de overheid om regelmatig het paswoord van de computers te resetten, waardoor een nieuw moet worden gekozen door de gebruiker? Zijn de ministers/staatssecretarissen hier voorstander van?

7) Wanneer op een pc van de overheid een "trojan", "malware", … wordt ontdekt die kan wijzen op potentiële (gevaren met betrekking tot) inbreuken, is het dan de standaardpraktijk om op die pc een nieuw wachtwoord in te stellen?

 
Réponse reçue le 12 juin 2013 : Antwoord ontvangen op 12 juni 2013 :

1) En ce qui concerne les applications du Service public fédéral Technologie de l'information et de la communication (FEDICT), le service public fédéral Technologie de l'Information et de la Communication, nous n'avons pas connaissance de tels incidents. Divers messages entrants tentent cependant d'inciter les utilisateurs à visiter des sites suspects.

Computer Emergency Response Team (CERT) CERT.be ne peut répondre à cette question pour l’ensemble des sites webs fédéraux, car il ne dispose pas de statistiques complètes à cet égard. Les services publics ne sont en effet pas tenus de signaler à CERT.be les attaques sur leurs infrastructures.

2) Cette question ne s’applique pas.

3) Une sécurisation et une détection ne sont jamais infaillibles. Fedict ne peut donc pas exclure qu'il ait été un jour victime ou intermédiaire. Tant concernant la sécurisation que la détection, diverses mesures ont été prises dans le cadre de la configuration des serveurs :

  1. Systèmes de relais de messagerie électronique qui isolent et bloquent les mails douteux

  2. Systèmes de prévention des intrusions pour toutes les applications de Fedict

  3. Pare-feu d'applications web qui nous protègent mieux contre les applications malveillantes

  4. Les applications sont protégées par une chaîne de proxies inverses, qui constituent une couche de sécurisation complémentaire pour certains types d'attaques.

  5. Les applications ne peuvent jamais communiquer avec des systèmes (non déclarés) sur Internet.

  6. Les applications sont périodiquement scannées afin de détecter d'éventuelles vulnérabilités.

Les vulnérabilités provenant du client (PC et clics humains) ouvrent généralement des fenêtres à partir desquelles les infrastructures serveurs sont attaquées.

4 et 5) Chaque service public fédéral peut décider de manière autonome d'élaborer et d'appliquer une stratégie de sécurité. Dans le large éventail de domaines de stratégie de sécurité et de cybersécurité en particulier, limiter l'accès à certains sites web constitue l'une des possibilités. La productivité des collaborateurs relève plutôt des compétences des services d'encadrement Personnel et Organisation qui, pour les sujets liés aux technologies de l'information, peuvent engager le dialogue avec les services d'encadrement ICT respectifs.

6) L'authentification des utilisateurs est une partie essentielle d'une politique de sécurité intégrée. Si l'on fait usage d'un identifiant et d'un mot de passe, il est indiqué de modifier périodiquement ce mot de passe, mais de manière judicieuse. Dans le cas contraire, d'autres risques de sécurité apparaîtraient, notamment dus au fait de noter le mot de passe. Dans le cadre de la politique de sécurité générale de chaque service public fédéral, il est dès lors très important de régulièrement conscientiser le personnel sur les risques en la matière.

7) Les logiciels antivirus signalent toute contamination connue au responsable du helpdesk et aux spécialistes de l'équipe ICT. Le PC contaminé est retiré du réseau et est traité de manière appropriée en fonction de la nature de la contamination. Lorsque des logiciels malveillants sont découverts, c'est même l'ensemble du réseau qui doit être considéré comme infecté. La création d'un nouveau mot de passe ne constitue qu'une petite partie d'un ensemble d'actions coordonnées au niveau du réseau. Créer uniquement un nouveau mot de passe ne suffit absolument pas.

1) Voor wat toepassingen van de Federale Overheidsdienst Informatie- en Communicatie Technologie (FEDICT) betreft, hebben we geen kennis van dergelijke incidenten. In diverse inkomende mails vinden we wel pogingen om de gebruiker aan te moedigen verdachte sites te bezoeken.

Computer Emergency Response Team (CERT) CERT.be kan niet antwoorden voor het geheel van de federale websites, omdat het niet over volledige statistieken in dit verband beschikt. De administraties zijn niet verplicht de aanvallen op hun infrastructuur aan CERT.be te melden.

2) Deze vraag is niet van toepassing.

3) Een beveiliging en detectie zijn nooit sluitend. Wij kunnen dus niet uitsluiten dat we ooit slachtoffer of tussenschakel geweest zijn. Zowel op het gebied van beveiliging als detectie zijn diverse maatregelen genomen bij de configuratie van de servers:

  1. Mail relay systemen die verdachte mails isoleren en blokkeren

  2. Intrusion prevention systemen voor alle applicaties van Fedict

  3. Web-application firewalls die ons beter moeten beschermen tegen kwetsbare toepassingen

  4. De toepassingen worden beschermd door een reverse-proxy ketting. Deze proxies vormen een bijkomende beschermingslaag voor sommige types aanvallen.

  5. toepassingen kunnen nooit met (ongedeclareerde) systemen op Internet spreken

  6. toepassingen worden periodiek gescand op kwetsbaarheden

Kwetsbaarheden langs de client kant (PC’s en menselijk klikgedrag) openen meestal het venster van waaruit de serverinfrastructuur aangevallen wordt.

4 en 5) Het behoort tot de autonomie van elke Federale Overheidsdienst om een veiligheidsbeleid uit te werken en toe te passen. Binnen de ruime waaier van veiligheidsbeleidsdomeinen en van de cyberveiligheid in het bijzonder is het beperken van de toegang tot bepaalde websites één van de mogelijkheden. De productiviteit van de medewerkers is eerder een bevoegdheidsdomein van de stafdiensten Personeel en Organisatie, die voor onderwerpen gerelateerd aan informatietechnologie daartoe de dialoog kan aangaan met de respectieve stafdiensten ICT.

6) De authenticatie van de gebruikers is een kernonderdeel van een geïntegreerd veiligheidsbeleid. Bij toepassing van gebruikersnaam en wachtwoord is het aangewezen om wachtwoorden periodiek te wijzigen, indien dit op een oordeelkundige wijze gebeurt. Zo niet ontstaan er andere veiligheidsrisico’s, zoals onder meer het noteren van paswoorden. Daarom is een regelmatig bewustmakingsproces van de risico’s een belangrijke schakel in het algemeen beveiligingsbeleid van elke Federale Overheidsdienst.

7) De antivirussoftware signaleert elke gekende besmetting aan de helpdeskverantwoordelijke en aan specialist binnen het ICT-team. De besmette pc wordt uit het netwerk genomen en krijgt een behandeling die aangepast is aan de aard van de besmetting. Wanneer malware ontdekt wordt moet zelfs het volledige netwerk als geïnfecteerd beschouwd worden. Het instellen van een nieuw wachtwoord is slechts een klein onderdeel van een set van gecoördineerde acties op netwerkniveau. Enkel een wachtwoord opnieuw instellen is absoluut onvoldoende.