| SÉNAT DE BELGIQUE | BELGISCHE SENAAT | ||||||||
| ________ | ________ | ||||||||
| Session 2020-2021 | Zitting 2020-2021 | ||||||||
| ________ | ________ | ||||||||
| 31 mars 2021 | 31 maart 2021 | ||||||||
| ________ | ________ | ||||||||
| Question écrite n° 7-1155 | Schriftelijke vraag nr. 7-1155 | ||||||||
de Rik Daems (Open Vld) |
van Rik Daems (Open Vld) |
||||||||
à la ministre de l'Intérieur, des Réformes institutionnelles et du Renouveau démocratique |
aan de minister van Binnenlandse Zaken, Institutionele Hervormingen en Democratische Vernieuwing |
||||||||
| ________ | ________ | ||||||||
| Médias sociaux - Confidentialité en ligne - Cryptage - Sûreté de l'État - Chiffres et tendances - Mesures possibles | Sociale media - Online privacy - Encryptie - Staatsveiligheid - Cijfers en tendensen - Mogelijke maatregelen | ||||||||
| ________ | ________ | ||||||||
| médias sociaux cryptographie sûreté de l'Etat criminalité informatique criminalité organisée |
sociale media codering van informatie staatsveiligheid computercriminaliteit georganiseerde misdaad |
||||||||
| ________ | ________ | ||||||||
|
|
||||||||
| ________ | ________ | ||||||||
| Ook gesteld aan : schriftelijke vraag 7-1154 | Ook gesteld aan : schriftelijke vraag 7-1154 | ||||||||
| ________ | ________ | ||||||||
| Question n° 7-1155 du 31 mars 2021 : (Question posée en néerlandais) | Vraag nr. 7-1155 d.d. 31 maart 2021 : (Vraag gesteld in het Nederlands) | ||||||||
Aux Pays-Bas, la sécurité et la confidentialité en ligne suscitent des inquiétudes en raison du fait que sur les conseils des services de renseignement, le ministère de la Justice et de la Sécurité est occupé à développer des projets qui affaibliraient la sécurité des messages de chat. Les services de renseignement et la police font pression afin de pouvoir disposer d'une option leur permettant de lire ces messages cryptés. Selon eux, le cryptage empêche les services d'enquête de lire les messages de suspects, ce qui met en péril la sécurité nationale. (cf. https://www.nrc.nl/nieuws/2021/03/10/brede coalitie spreekt zich uit tegen regeringsplannen verzwakken encryptie a4034891). Cela n'a pas manqué de susciter des réactions de la part d'un large groupe d'entreprises, d'experts et d'organisations de la société civile. Leur plaidoyer tient en une phrase : «Nous demandons au prochain gouvernement de promouvoir le développement, la mise à disposition et l'application de toutes les formes de cryptage.» (traduction) (cf. https://www.stimuleer encryptie.nl/). Des entreprises telles que Facebook, Google et Microsoft ont signé la déclaration, tout comme des sociétés de sécurité ainsi que des prestataires de services et des experts indépendants en matière de sécurité informatique. L'«Expertisecentrum Online Kindermisbruik», Amnesty International et le «Consumentenbond» ont également signé la déclaration. (cf. https://nos.nl/artikel/2372017 brede coalitie richt zich tegen regeringsplannen om encryptie te verzwakken.html). De nombreuses applications utilisent ce que l'on appelle le «chiffrement de bout en bout», où seuls l'expéditeur et le destinataire peuvent lire les messages. C'est une arme à double tranchant. D'une part, ce système offre une sécurité extrêmement élevée. Même si des hackers prenaient le contrôle des serveurs de l'entreprise elle-même, ils ne pourraient pas encore lire les messages des utilisateurs. Ce système est donc intéressant pour les dissidents vivant dans des pays dominés par un régime autoritaire ainsi que pour les journalistes et les activistes qui souhaitent communiquer de manière anonyme. D'autre part, les criminels aussi se servent de la technologie du chiffrement pour diffuser des contenus interdits tels que de la pédopornographie et les terroristes l'utilisent pour communiquer en toute sécurité avec leurs complices. C'est la raison pour laquelle les autorités néerlandaises continuent à développer des projets afin de permettre les écoutes auprès de services cryptés. Selon Rejo Zenger, membre de l'organisation de défense des droits civils «Bits of Freedom», l'affaiblissement du cryptage des messages de chat n'est pas souhaitable car cela prive les citoyens bien intentionnés du droit à une communication sécurisée. «Si WhatsApp, par exemple, incorpore une porte dérobée dans son service afin de permettre aux services d'enquête de lire les messages de criminels, les personnes malintentionnées seront évidemment les premières à «craquer» cette fonctionnalité et à l'utiliser à des fins malveillantes.» (traduction) En ce qui concerne le caractère transversal de la présente question: les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui devront être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la note-cadre de sécurité intégrale et dans le plan national de sécurité 2016-2019 et ont été discutés lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Il s'agit d'une matière transversale qui relève également des Régions, le rôle de ces dernières se situant surtout dans le domaine de la prévention. J'aimerais dès lors vous poser les questions suivantes : 1) Existe-t-il, en Belgique, des projets similaires visant à affaiblir les communications cryptées ? Dans l'affirmative, pourquoi et quelles en sont les modalités ? Dans la négative, pouvez-vous expliquer ? 2) Y a-t-il des projets en vue de stimuler le cryptage ? Dans l'affirmative, visent-ils uniquement les citoyens ou concernent-ils aussi les pouvoirs publics ? 3) Les pouvoirs publics et les services de maintien de l'ordre reçoivent-ils un soutien suffisant de la part des géants de la technologie pour examiner les messages et les profils qui font l'objet d'une enquête ? Quels géants de la technologie répondent le plus à ces demandes et quels sont ceux qui y répondent le moins ? 4) À quels moyens alternatifs, outre l'intégration de portes dérobées dans le cryptage, les pouvoirs publics peuvent-ils avoir recours pour traquer les criminels sur des canaux sécurisés ? 5) Quelles autres propositions les services de sécurité formuleraient-ils afin de faciliter leur travail d'enquête, et ce, dans le respect de la vie privée de tous les citoyens ? |
In Nederland maakt men zich zorgen rond de veiligheid en privacy online. Dit komt omdat het ministerie van Justitie en Veiligheid, op aanraden van de inlichtingendiensten, plannen aan het voorbereiden is die de beveiliging van chatberichten zou verzwakken. De inlichtingendiensten en politie dringen aan op een optie om deze versleutelde berichten toch te kunnen lezen. Volgens hen zorgt de encryptie ervoor dat opsporingsdiensten berichten van verdachten niet kunnen lezen en komt zo de nationale veiligheid in gevaar (cf. https://www.nrc.nl/nieuws/2021/03/10/brede-coalitie-spreekt-zich-uit-tegen-regeringsplannen-verzwakken-encryptie-a4034891). Als tegenreactie spreekt zich een breed gezelschap van bedrijven, experts en maatschappelijke organisaties hiertegen uit. Hun pleidooi bestaat uit slechts één zin: «Wij roepen het volgende kabinet op de ontwikkeling, de beschikbaarheid en de toepassing van alle vormen van encryptie te stimuleren.» (cf. https://www.stimuleer-encryptie.nl/). Bedrijven zoals Facebook, Google en Microsoft ondertekenden de verklaring, net als beveiligingsbedrijven en onafhankelijke computerbeveiligers en deskundigen. Ook Expertisecentrum Online Kindermisbruik, Amnesty International en de Consumentenbond tekenden mee (cf. https://nos.nl/artikel/2372017-brede-coalitie-richt-zich-tegen-regeringsplannen-om-encryptie-te-verzwakken.html). Veel apps maken gebruik van zogeheten end-to-end-encryptie, waarbij alleen de verzender en de ontvanger de berichten kunnen lezen. Dit is een tweesnijdend zwaard. Enerzijds zorgt dit voor een uiterst hoge beveiliging. Zelfs als hackers de servers van het bedrijf zelf zouden overnemen, kunnen ze de berichten nog niet lezen van gebruikers. Dit maakt het aantrekkelijk voor dissidenten die leven in landen met autoritaire regimes alsook journalisten en activisten die anoniem willen communiceren. Anderzijds gebruiken ook criminelen dit om verboden materiaal te verspreiden, zoals kinderporno. Ook kunnen terroristen dit misbruiken om op een veilige manier te kunnen communiceren met hun medeleden. Het is daarom dat de Nederlandse autoriteiten nog steeds plannen aan het maken zijn om tappen mogelijk te maken bij geëncrypteerde diensten. Volgens Rejo Zenger van burgerrechtenorganisatie «Bits of Freedom» is verzwakking van de versleuteling van chatberichten onwenselijk omdat het goedwillende burgers het recht ontneemt op veilige communicatie. «Als bijvoorbeeld WhatsApp een achterdeur in hun dienst inbouwt zodat opsporingsdiensten berichten van criminelen kunnen lezen, zijn kwaadwillenden natuurlijk de eersten die zo'n functie kraken en misbruiken.» Wat betreft het transversaal karakter van de vraag: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2016-2019, en werden besproken tijdens een interministeriële conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft aldus een transversale aangelegenheid met de Gewesten waarbij de rol van de Gewesten vooral ligt in het preventieve luik. Graag had ik dan ook volgende vragen voorgelegd aan de geachte minister: 1) Zijn er soortgelijke plannen in België om geëncrypteerde communicatie af te zwakken? Zo ja, waarom en op welke wijze? Zo nee, verklaar. 2) Zijn er plannen om de encryptie te stimuleren? Indien ja, enkel bij de burgers of ook bij de overheid? 3) Krijgen de overheid en ordehandhavingsdiensten voldoende steun van techgiganten om berichten en profielen in te kijken waartegen een onderzoek loopt? Welke techgiganten willigden deze verzoeken het meest en in welke het minst? 4) Welke alternatieve manieren, buiten het pleiten voor achterpoortjes in de encryptie, kan de overheid aanwenden om criminelen op beveiligde kanalen op te sporen? 5) Welke andere voorstellen zouden de veiligheidsdiensten willen zien, die hun opsporingswerk vergemakkelijkt, maar toch rekening houdt met de privacy van alle burgers? |
||||||||
| Réponse reçue le 29 avril 2021 : | Antwoord ontvangen op 29 april 2021 : | ||||||||
1-2) Le cryptage n’est pas interdit. De fait, celui-ci est même encouragé puisqu’il constitue une des méthodes de choix (mais pas la seule) utilisée notamment pour sécuriser les payements et empêcher la prise de connaissance inopportune des communications privées. Il est indispensable non seulement à la protection de la vie privée, mais également à la sauvegarde du potentiel économique de notre pays, au maintien de la compétitivité de nos entreprises, au respect du secret médical, à la préservation des secrets de fabriques, etc. 3) Les fournisseurs étrangers posent un problème car, en théorie, ils ne sont autorisés à coopérer que dans le cadre d'un traité d'assistance juridique mutuelle (MLAT). Il existe actuellement un certain nombre de gentleman agreements avec différents fournisseurs de services en ligne tels que Facebook, Instagram et Twitter. Sur la base de ces accords, des «demandes directes» sont possibles, mais le fournisseur de services en ligne décide toujours lui-même de répondre ou non à la demande. En général, la demande est refusée parce que l'infraction retenue n'est pas punissable en Belgique dans le pays où se trouve l'OSP (= Online Service Provider). C'est souvent le cas pour «l'incitation à la haine/violence et les menaces». Le délai de traitement de ces « demandes directes » varie de plusieurs semaines à plusieurs mois. Dans les cas où une soi-disant «menace physique imminente» (danger pour la vie humaine ou fait pouvant entraîner une blessure physique), une demande de divulgation d'urgence peut être envoyée. Là aussi, l'OSP décidera s'il s'agit d'une urgence ou non. Si elle n'est pas considérée comme telle, elle peut quand même être considérée comme une demande directe. Il n'y a absolument aucune coopération avec certains fournisseurs de services en ligne, comme Telegram. Il existe une coopération avec d'autres fournisseurs de services en ligne (Facebook, Instagram, Twitter, Microsoft, Apple, Google, etc.), ce qui ne signifie pas que tout se passe toujours bien. Pour certains dossiers, la demande directe est refusée et une MLAT est demandée, ce qui entraîne des retards inutiles pour le dossier. Un MLAT peut facilement prendre de 6 à 12 mois, ce qui, combiné à la législation actuelle sur la conservation des données (période maximale de conservation des données en Belgique de 12 mois), peut être problématique dans certains dossiers. 4) Les autres moyens sont : – Mobiliser et attirer du personnel technique spécialisé, en particulier des services de police ; – Investir dans la technologie, tant dans le secteur public que privé ; – Promouvoir les partenariats entre les forces de police et les entreprises privées/institutions universitaires de haute technologie en reconnaissant les subventions et en créant des cadres juridiques simples au sein desquels ces partenariats peuvent exister et les informations peuvent être partagées. 5) Les propositions suivantes peuvent être prises en considération : – Une meilleure et surtout plus rapide coopération internationale entre les forces de police par la mise en place de SPOCs en Europe en matière de cybercriminalité ; – Maintenir des périodes de conservation des données obligatoires pour les fournisseurs de télécommunications, mais selon un cadre juridique précis et un cryptage obligatoire des données, uniquement accessibles aux services de police dans des conditions strictes ; – Dans le contexte de la criminalité organisée : créer un cadre juridique clair dans lequel les services gouvernementaux peuvent imposer et faire respecter une obligation de coopération. |
1-2) Encryptie is niet verboden. Het wordt zelfs aangemoedigd, omdat het één van de methoden is om bijvoorbeeld betalingen te beveiligen en niet-geoorloofde kennisname van privé communicatie te voorkomen. Dit is niet alleen van essentieel belang voor de bescherming van de persoonlijke levenssfeer, maar ook voor de vrijwaring van het economische potentieel van ons land, de instandhouding van het concurrentievermogen van onze ondernemingen, de eerbiediging van het medisch geheim, de bescherming van bedrijfsgeheimen etc. 3) Het probleem met buitenlandse providers is dat deze in theorie enkel (mogen) samenwerken in het kader van een zogenaamde Mutual Legal Assistance Treaty (MLAT = Internationaal Rechtshulpverzoek). Momenteel zijn er een aantal gentleman agreements met verschillende Online Service Providers (OSP's) zoals Facebook, Instagram en Twitter. Op basis hiervan zijn zogenaamde ‘Direct Requests’ mogelijk maar beslist de Online Service Provider (OSP) nog steeds zelf of men al dan niet ingaat op het verzoek. Meestal wordt er geweigerd omdat het weerhouden feit in België niet strafbaar is in het land alwaar de OSP gevestigd is. Dit is vaak het geval bij «aanzetten tot haat/geweld en bedreigingen». De doorlooptijd van uitvoering van dergelijke Direct Requests vaat van enkele weken tot enkele maanden. In dossiers waarbij een zogenaamde «Physical Imminent Threat» (gevaar voor mensenleven of feiten met een mogelijks fysiek letsel) is, kan een zogenaamde «Emergency Disclosure Request» gestuurd worden. Ook hierbij neemt de OSP de beslissing of het al dan niet om een noodgeval (Emergency) gaat. Indien men het niet als dusdanig weerhoudt,kan het evenwel nog als een Direct Request beschouwd worden. Met bepaalde Online Service Providers is er totaal geen samenwerking zoals Telegram. Met andere Online Service Providers is er wel een samenwerking (Facebook, Instagram, Twitter, Microsoft, Apple, Google, enz.) wat echter niet wil zeggen dat het steeds vlot verloopt. Bij sommige dossiers worden Direct Request geweigerd en vragen ze een MLAT waardoor het dossier onnodig vertraging oploopt. Een MLAT kan makkelijk 6 tot 12 maanden duren en dit in combinatie met de huidige dataretentie wetgeving (maximale databewaringstermijn in België van 12 maanden) kan problematisch zijn in sommige dossiers. 4) De alternatieve manieres zijn: – Inzetten op en aantrekken van gespecialiseerd technisch personeel, in het bijzonder bij politiediensten; – Investeren in technologie, zowel in de publieke als in de private sector; – Partnerschappen stimuleren tussen politiediensten en hoogtechnologische private bedrijven/academische instellingen door middel van erkennen van subsidies en het creëren van eenvoudige wettelijke kaders waarbinnen deze partnerschappen kunnen bestaan en informatie kan gedeeld worden. 5) De volgende voorstellen kunnen in overweging genomen worden : – Een betere en vooral snellere internationale samenwerking tussen politiediensten door het oprichten van SPOCs binnen Europa inzake cybercrime; – Het behoud van de verplichte dataretentietermijnen voor de Telecomproviders, maar volgens een nauwkeurig wettelijk kader en verplichte encryptie van de data, enkel toegankelijk voor politiediensten onder strikte voorwaarden; – In het kader van georganiseerde criminaliteit: een duidelijk wettelijk kader creëren waarin overheidsdiensten een medewerkingsplicht kunnen opleggen en afdwingen. |