SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2012-2013 Zitting 2012-2013
________________
13 mai 2013 13 mei 2013
________________
Question écrite n° 5-9021 Schriftelijke vraag nr. 5-9021

de Nele Lijnen (Open Vld)

van Nele Lijnen (Open Vld)

au ministre des Finances, chargé de la Fonction publique

aan de minister van Financiën, belast met Ambtenarenzaken
________________
Cybercriminalité - Cyberattaques ciblées - Sites web de l'autorité fédérale - Technique du watering hole - Sécurisation - Restrictions Cybercrime - Gerichte cyberaanvallen - Websites van de federale overheid - Watering hole-techniek - Beveiliging - Restricties 
________________
criminalité informatique
site internet
administration électronique
protection des données
computercriminaliteit
internetsite
elektronische overheid
gegevensbescherming
________ ________
13/5/2013Verzending vraag
11/9/2013Antwoord
13/5/2013Verzending vraag
11/9/2013Antwoord
________ ________
Question n° 5-9021 du 13 mai 2013 : (Question posée en néerlandais) Vraag nr. 5-9021 d.d. 13 mei 2013 : (Vraag gesteld in het Nederlands)

Dans un rapport récent, l'entreprise américaine Symantec a indiqué que le nombre de cyberattaques ciblées avait augmenté de 42 % en 2012. Ces attaques visent principalement à s'emparer de droits intellectuels et ce sont surtout les petites et moyennes entreprises (PME), les industries et le secteur public qui sont attaqués. Si l'objectif des criminels n'est pas de dérober à tout prix les informations de ces entreprises, ces dernières sont utilisées pour permettre aux criminels de s'attaquer à de plus grosses entreprises et ce, par le biais de la technique du « watering hole ». Un cybercriminel implante un agent malicieux dans un site web fréquemment visité par les utilisateurs qu'il veut atteindre. À leur insu, les visiteurs du site infecté se retrouvent, par exemple, avec un cheval de Troie ou un malware. Ensuite, le cybercriminel peut s'introduire dans l'ordinateur ou le site web de l'organisation qu'il visait. L'entreprise dont le site web est attaqué n'est donc qu'un intermédiaire innocent. Il est tout à fait possible que les criminels subtilisent en une fois les données bancaires ou les droits intellectuels des entreprises. L'objectif n'est donc pas de faire un maximum de victimes mais d'atteindre quelques cibles très spécifiques.

Les entreprises ignorent le rôle qu'elles jouent dans ce processus. Elles pensent que les cybercriminels ne s'intéressent pas à elles et qu'ils s'attaquent plutôt à l'administration ou à des multinationales. Ce n'est pas le cas. Aux États-Unis (EU) la première victime n'est plus l'administration mais le secteur industriel. Lorsque des criminels ont besoin de données (données bancaires, contrats, données personnelles,...), ils ne s'attaquent pas aux grosses entreprises mieux sécurisées mais aux plus petites qui, collaborant étroitement avec ces dernières, disposent de nombreuses données à leur sujet. C'est la raison pour laquelle ce ne sont pas les dirigeants de ces entreprises qui sont attaqués mais l'administration qui a accès aux documents.

Je souhaiterais poser au ministre les questions suivantes :

1) Par le passé, des sites web de l'administration fédérale ou d'entreprises publiques ont-ils déjà été victimes de la technique dite du « watering hole » dont l'autorité était la cible ? Des sites web de l'administration (d'entreprises publiques) ont-ils déjà été utilisés comme « intermédiaires » ou le ministre a-t-il connaissance d'instances dont les PC ont été contaminés après visite d'un site web contaminé ?

2) Dans l'affirmative, le ministre peut-il étayer sa réponse à l'aide de chiffres portant sur les cinq dernières années ?

3) Dans la négative, les services chargés de la sécurité de ces sites web sont-ils en mesure de constater des infractions telles que la technique dite du watering hole ?

4) Quelles leçons le ministre a-t-il tirées de l'attaque massive de virus en février 2012 subie par son service public fédéral (SPF) ? Des mesures ont-elles été prises par la suite afin d'essayer d'éviter à l'avenir ce type de problème ?

5) Est-il très courant, pour l'administration, de limiter le nombre de sites web à visiter ou le personnel peut-il en général visiter à peu près tous les sites ? Le ministre peut-il détailler sa réponse ? Si des restrictions sont imposées, est-ce pour des raisons de cybersécurité ou dans l'intérêt de la productivité ?

6) Est-il très courant, pour l'administration, de réinitialiser régulièrement le mot de passe des ordinateurs, amenant l'utilisateur à devoir en choisir un nouveau ? Le ministre est-il partisan de cette pratique ?

7) Lorsque l'on découvre sur un ordinateur de l'administration un « cheval de Troie », un « malware », ... susceptible de révéler des (risques d') infractions, est-il courant de créer un nouveau mot de passe pour cet ordinateur ?

 

Een recent rapport van het Amerikaanse bedrijf Symantec stelt dat in 2012 het aantal gerichte cyberaanvallen met 42 % is toegenomen. Het hoofddoel van die aanvallen is het stelen van intellectuele eigendom, waarbij vooral kleine en middelgrote ondernemingen (kmo's), de industrie en de overheidssector worden aangevallen. Is het doel van de criminelen niet noodzakelijk om info te stelen van die bedrijven, dan fungeren die bedrijven als slachtoffer in een poging om grotere bedrijven aan te vallen. Dat gebeurt via de zogenaamde "watering hole"- techniek. Een cybercrimineel plant een "exploit" op een gekozen website die veel bezocht wordt door gebruikers van de site die men eigenlijk wil treffen. Nietsvermoedende bezoekers van de geïnfecteerde site installeren zo bijvoorbeeld een trojan of malware. Vervolgens kan de crimineel in de pc's of website van de organisatie die hij eigenlijk wilde binnendringen. De aangevallen website van het bedrijf is dus slechts een onwetende tussenpersoon. Het is zeer goed mogelijk dat de criminelen in een adem ook bijvoorbeeld bankgegevens of intellectuele eigendommen stelen van de bedrijven. Het doel is dus niet om zoveel mogelijk slachtoffers te maken, wel om enkele zeer specifieke targets te bereiken.

Bedrijven hebben aldus geen weet van hun rol in dit proces. Ze denken dat cybercriminelen hen met rust laten en eerder de overheid of multinationals aanvallen. Dat klopt dus niet. In de Verenigde Staten (VS) is niet langer de overheid, wel de nijverheidsector het primaire slachtoffer. Wanneer criminelen gegevens (bijvoorbeeld bankgegevens, contracten, persoonlijke gegevens, …) nodig hebben, vallen ze niet de beter beveiligde grote bedrijven aan, wel de kleinere die er nauw mee samenwerken en dus veel gegevens over hen hebben. Om die reden worden ook niet de leiders van die bedrijven aangevallen, wel de administratie die toegang heeft tot de documenten.

Graag had ik de geachte minister volgende vragen gesteld:

1) Zijn er in het verleden al websites van de federale overheid het slachtoffer geworden van de zogenaamde "watering hole" techniek, waarbij de overheid het target was? Zijn websites van de federale overheid reeds gebruikt als "tussenpersoon", of heeft hij weet van instanties waarbij overheidspc's werden besmet na het bezoeken van een besmette website?

2) Indien ja, kan hij toelichten met cijfers over de voorbije 5 jaar?

3) Indien neen, zijn de diensten die waken over de veiligheid van die websites in staat om dergelijke inbreuken zoals de watering hole- techniek vast te stellen?

4) Welke lessen heeft hij getrokken uit de massale virusaanval in februari 2012 bij zijn Federale Overheidsdienst (FOD) ? Zijn er daarna maatregelen getroffen om zulke zaken in de toekomst te pogen te voorkomen?

5) Is het een wijdverspreide praktijk bij de overheid om het aantal te bezoeken websites te beperken, of kan het overheidspersoneel in het algemeen zowat alle websites bezoeken? Kan hij toelichten? Indien er restricties zijn, is dat omwille van de cyberveiligheid of de productiviteit?

6) Is het een wijdverspreide praktijk bij de overheid om regelmatig het paswoord van de computers te resetten, waardoor een nieuw moet worden gekozen door de gebruiker? Is hij daar een voorstander van?

7) Wanneer op een pc van de overheid een trojan, malware, … wordt ontdekt die kan wijzen op potentiële (gevaren met betrekking tot) inbreuken, is het dan de standaardpraktijk om op die pc een nieuw wachtwoord in te stellen?

 
Réponse reçue le 11 septembre 2013 : Antwoord ontvangen op 11 september 2013 :

1)     Les sites web du Service public fédéral (SPF) Finances n’ont pas été contaminés suivant le principe du "watering hole", ou par un autre principe destiné à voler des informations des visiteurs du site et n’ont pas été utilisés comme « personne intermédiaire ». 

L'accès aux serveurs sensibles du SPF Finances est protégé par un firewall, et le parc de PC's est protégé par un anti-virus.  

2)     Néant. 

3)     Les systèmes de détection et de prévention automatiques ne sont en mesure de prévenir que les contaminations d'un type connu. Ils restent potentiellement vulnérables aux techniques récentes de contamination. 

4)     Des mesures spécifiques et rigoureuses ont été appliquées pour réduire le risque d'une nouvelle contamination (restriction des dérogations, restriction des partages de disque, etc.). En outre, l'infrastructure de mises à jour des anti-virus a été adaptée en vue d'accélérer l'exécution des mises à jour, compte tenu du nombre de postes de travaux.  

5)     Le World Wide Web est une source d'information précieuse pour un grand ensemble d'activités au SPF Finances. En conséquence, il a été décidé de donner accès à cette ressource pour l'ensemble des fonctionnaires et collaborateurs du SPF Finances. L'accès au web comprend néanmoins un certain nombre de restrictions motivées par différentes raisons incluant, et autres :

  • des risques de sécurité ;

  • une consommation excessive de la bande passante et de ressources collectives, avec un risque de perturbation du bon fonctionnement de l’infrastructure informatique. (exemple : vidéo) ;

  • une utilisation extra professionnelle excessive, avec consommation excessive de ressources collectives, génération de coûts injustifiés pour l’État et de perte de performance des ressources, pour l’usage professionnel ;

  • le caractère douteux du point de vue de la moralité, ou illégal, de certains sites (sites pornographiques, pédophiles, etc.). 

L'accès est restreint par des filtres intégrés dans l'infrastructure de sécurité du réseau, et fonctionnant sur la base de listes, réparties en catégories, établies par les éditeurs de logiciels de filtrage, et mises à jour régulièrement au sein du SPF Finances. 

Un nombre restreint d'utilisateurs bénéficient de droits d'accès plus étendus en fonction de besoins professionnels spécifiques. 

6)     Le système central d'authentification des utilisateurs du SPF Finances impose un changement du mot de passe à intervalle régulier (tous les six mois). Pendant plusieurs jours, le système central invite l'utilisateur à changer son mot de passe. À l'échéance, l'utilisateur ne sait plus travailler tant qu'il ne l'a pas changé. Des changements supplémentaires sont recommandés dès qu'on soupçonne un risque d'usurpation d'identité. 

7)     Il n'est pas prévu de changer systématiquement le mot de passe des utilisateurs dès qu'il y a découverte d'une contamination par un malware. Le changement de mot de passe est recommandé dès qu'on soupçonne un risque d'usurpation d'identité, de quelque manière que ce soit.

1)     De websites van Federale Overheidsdienst (FOD) Financiën zijn niet besmet geweest volgens de "watering hole" techniek, noch volgens enige andere techniek voor het stelen van informatie van de bezoekers van de site, en deze werden dus niet als “tussenpersoon” gebruikt.                          

De toegang tot de gevoelige servers van FOD Financiën wordt beschermd met een firewall en het pc-park wordt beschermd met antivirussoftware.  

2)     Geen. 

3)     De automatische detectie- en preventiesystemen zijn enkel in staat om bekende soorten besmettingen te voorkomen. Zij blijven mogelijks kwetsbaar voor recente infectietechnieken. 

4)     Er zijn strenge en specifieke maatregelen genomen om het risico op een nieuwe besmetting te beperken (beperking van afwijkingen, beperking op het delen van schijven, enz.) Daarnaast werd de infrastructuur voor het updaten van antivirussoftware aangepast om de implementatie van de updates te kunnen versnellen, rekening houdend met het aantal werkstations.  

5)     Het World Wide Web is een kostbare informatiebron voor een groot aantal activiteiten van FOD Financiën. Er werd dan ook besloten om toegang te verlenen tot dit hulpmiddel aan alle ambtenaren en medewerkers van FOD Financiën. Er gelden echter een aantal beperkingen op de toegang tot het web, om verschillende redenen, onder andere :

  • veiligheidsrisico’s;

  • overmatig gebruik van bandbreedte en collectieve middelen, met een risico op een verstoorde werking van de IT-infrastructuur (bijv. Video) ;

  • buitensporig niet-professioneel gebruik met overmatig gebruik van de collectieve middelen, het genereren van ongerechtvaardigde kosten voor de Staat en verminderde prestaties van de hulpmiddelen voor professioneel gebruik ;

  • het illegale of twijfelachtige karakter van bepaalde sites vanuit moreel oogpunt  (pornografische, pedofiele sites, enz.). 

De toegang wordt beperkt via in de veiligheidsinfrastructuur van het netwerk geïntegreerde filters die werken op basis van lijsten, onderverdeeld in categorieën, opgesteld door de editors van de filterprogramma’s; deze worden ook regelmatig bijgewerkt binnen FOD Financiën. 

Een beperkt aantal gebruikers heeft bredere toegangsrechten op basis van specifieke professionele behoeften. 

6)     Het centrale authentificatiesysteem voor de gebruikers van FOD Financiën vereist een regelmatige wijziging van het wachtwoord (om de zes maanden). Het centrale systeem vraagt de gebruiker dan gedurende een aantal dagen om zijn wachtwoord te wijzigen. Doet de gebruiker dat niet, dan heeft hij na het verstrijken van de termijn geen toegang meer. Bijkomende wijzigingen worden aanbevolen zodra er een vermoedelijk risico op identiteitsdiefstal is. 

7)     Een systematische wijziging van het gebruikerswachtwoord van zodra een infectie met malware wordt ontdekt is niet voorzien.

Het wijzigen van wachtwoorden wordt aanbevolen zodra er een vermoedelijk risico op identiteitsdiefstal is, op welke wijze ook.