SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2020-2021 Zitting 2020-2021
________________
22 juillet 2021 22 juli 2021
________________
Question écrite n° 7-1311 Schriftelijke vraag nr. 7-1311

de Tom Ongena (Open Vld)
van Tom Ongena (Open Vld)

à la ministre de l'Intérieur, des Réformes institutionnelles et du Renouveau démocratique
aan de minister van Binnenlandse Zaken, Institutionele Hervormingen en Democratische Vernieuwing
________________
Cyberattaques - Cybersécurité - Chiffres et tendances - Auteurs - Acteurs étatiques - Vie privée - Protection - Mesures Cyberaanvallen - Cybersecurity - Cijfers en tendensen - Daders - Statelijke actoren - Privacy - Bescherming - Maatregelen 
________________
sécurité des systèmes d'information
statistique officielle
criminalité informatique
protection des communications
protection des données
piratage informatique
espionnage industriel
informatiebeveiliging
officiële statistiek
computercriminaliteit
telefoon- en briefgeheim
gegevensbescherming
computerpiraterij
industriële spionage
________ ________
22/7/2021Verzending vraag
(Einde van de antwoordtermijn: 26/8/2021)
12/8/2021Antwoord
22/7/2021Verzending vraag
(Einde van de antwoordtermijn: 26/8/2021)
12/8/2021Antwoord
________ ________
Aussi posée à : question écrite 7-1310 Aussi posée à : question écrite 7-1310
________ ________
Question n° 7-1311 du 22 juillet 2021 : (Question posée en néerlandais) Vraag nr. 7-1311 d.d. 22 juli 2021 : (Vraag gesteld in het Nederlands)

Notre sécurité numérique est étroitement liée à la sécurité nationale. Or, celle-ci est sous pression. Sous l'effet notamment de la pandémie de coronavirus, la numérisation de notre société s'est encore accélérée : nous sommes davantage en ligne, nous utilisons davantage le cyberespace, nous laissons aussi plus de traces derrière nous sous forme de données (données personnelles, données bancaires, etc.). Des individus ou des autorités publiques malintentionnés peuvent se servir de ces données.

En mai 2021, le réseau belge (Belnet) a été durement touché par une attaque DDOS (attaque par déni de service distribué) soigneusement coordonnée (cf. https://www.demorgen.be/nieuws/cyberaanval large-scale-duplex-knocks-down-government-websites~b0567307/). Selon toute vraisemblance, cette attaque émanait de Chine. Ce jour-là, la Chambre des représentants avait adopté des résolutions sur les Ouïghours et entendu une Ouïghoure témoignant des abus commis.

Le parti communiste chinois ne supportant pas la critique, il fallait «punir» la Belgique. Ce n'est pas la première fois que la Chine met nos systèmes à l'épreuve; en 2019 déjà, le collectif de pirates informatiques chinois Hafnium aurait eu accès au système du Service public fédéral (SPF) Intérieur (cf. https://businessam.be/snuffelden chinese-hackers-have-accessed-systems-home-affairs/ since 2019).

Avant cela, l'Australie, le Japon et l'Inde avaient déjà été la cible d'attaques dans des circonstances similaires.

Un exemple plus récent concerne les fuites dans certains logiciels à des endroits sensibles de l'infrastructure. Début juillet 2021, le Centre pour la cybersécurité a demandé à tous les utilisateurs du logiciel de gestion des TIC du fournisseur Kaseya VSA de déconnecter celui-ci le plus rapidement possible (cf. https://datanews.knack.be/ict/nieuws/al-meer-dan-duizend-bedrijven-getroffen-door-grootschalige-cyberaanval/article-news-1753491.html). Le logiciel en question représentait un danger car un ransomware, c'est-à-dire un logiciel rançonneur, pouvait être introduit dans le PC. Ce ransomware était une variante du ransomware REvil provenant d'un collectif de pirates informatiques russes.

Outre les attaques DDOS et les attaques par ransomware, les pirates informatiques de puissances étatiques étrangères sont également à la recherche de données et d'informations. C'est pourquoi les attaques visent surtout les universités. Il n'y a pas si longtemps, les universités de Leyde et de Maastricht aux Pays-Bas ont subi une attaque. Détail frappant: l'attaque de Leyde impliquait aussi bien des Russes que des Iraniens (cf. https://www.ad.nl/tech/universiteit leiden vermoedelijk ook gehackt door russen en nu wil iraanse groep geld zien~a96a3faa/). Les Russes se sont introduits dans le système et ont ensuite transmis les données aux Iraniens.

En ce qui concerne le caractère transversal de la présente question : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui devront être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la note-cadre de sécurité intégrale et dans le plan national de sécurité 2016-2019 et ont été discutés lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Il s'agit donc d'une matière transversale qui relève également des Régions, le rôle de ces dernières se situant surtout dans le domaine de la prévention.

J'aimerais dès lors soumettre au/à la ministre les questions suivantes :

1) Je souhaiterais obtenir une liste des principales cyberattaques ciblées contre nos infrastructures et nos institutions au cours des quatre dernières années. Quelles étaient les cibles ? Qui en étaient les auteurs (présumés) ? Quelles méthodes ont-ils utilisées ? Quels sont les dommages estimés ?

2) De quel pays la majorité des attaques proviennent-elles ? Quelles sont les méthodes les plus couramment utilisées ? Quel est le but de ces actions ? Quels sont les liens entre les collectifs de pirates informatiques et les autorités de leur pays ? Peut-on discerner certains schémas ?

3) Outre les méthodes bien connues que sont les attaques DDoS contre des institutions, la prise en otage d'utilisateurs par des logiciels rançonneurs et la pêche aux informations par hameçonnage, quelles autres méthodes (parfois moins connues) sont-elles utilisées ?

4) Quels sont les plans de nos autorités en vue de rendre nos infrastructures numériques plus résistantes face aux attaques organisées ? Où en est-on à cet égard ? Quelles sont les autres mesures prévues ? Les interventions portent-elles essentiellement sur les logiciels ou faut-il également modifier ou remplacer (renouveler) le matériel ? Pourquoi ?

5) Comment la Belgique peut-elle collaborer avec d'autres acteurs (par exemple, l'Union européenne, Interpol, etc.) afin de se prémunir contre pareilles agressions en provenance de l'étranger ?

 

Onze digitale veiligheid is innig verweven met de nationale veiligheid. Toch staat zij onder druk. Mede door de coronapandemie is de digitalisering van onze maatschappij nog meer versneld: we zijn meer online, we maken meer gebruik van de cyberspace bevinden, we laten ook meer data we ook achter (persoonsgegevens, bankgegevens, enz.). Deze informatie kan nuttig zijn voor kwaadwillende actoren, van criminelen tot overheden.

Het Belgische netwerk (Belnet) werd in het bijzonder in mei 2021 zwaar getroffen door een secuur gecoördineerde DDOS (distributed denial of service)-aanval (cf. https://www.demorgen.be/nieuws/cyberaanval-van-grote-omvang-legt-websites-belgische-overheid-plat~b0567307/). De oorsprong van deze aanval is naar alle waarschijnlijkheid terug te leiden tot China. Op die dag werden er in de Kamer van volksvertegenwoordigers resoluties gestemd over de Oeigoeren en kwam er een Oeigoerse getuigen over de wantoestanden.

De Communistische Partij van China houdt niet van kritiek, dus moest België «gestraft» worden. Het is niet de eerste keer dat China onze systemen test, naar verluidt had het Chinese hackerscollectief Hafnium reeds sinds 2019 al toegang tot het systeem van de federale overheidsdienst (FOD) Binnenlandse Zaken (cf. https://businessam.be/snuffelden-chinese-hackers-al-sinds-2019-in-systemen-binnenlandse-zaken/).

Eerder waren ook Australië, Japan en India al aangevallen onder soortgelijke omstandigheden.

Een recenter voorbeeld zijn de lekken in bepaalde software op gevoelige plaatsen in de infrastructuur die uitgebuit worden. Begin juli 2021 vroeg het Centrum voor cybersecurity alle gebruikers van de ICT-beheersoftware van leverancier Kaseya VSA om die zo snel mogelijk los te koppelen (cf. https://datanews.knack.be/ict/nieuws/al-meer-dan-duizend-bedrijven-getroffen-door-grootschalige-cyberaanval/article-news-1753491.html?cookie_check=1625569113). De software in kwestie was een gevaar omdat er ransomware kon binnengesmokkeld worden op de PC. Deze ransomware was een variant van de REvil-ransomware, afkomstig van een Russisch hackerscollectief.

Naast DDOS-aanvallen en ransomware-aanvallen zijn hackers van buitenlandse statelijke mogendheden ook op zoek naar data en informatie. Daarom worden vooral universiteiten geviseerd. In Nederland werden zowel de universiteit van Leiden als die van Maastricht nog niet zo lang geleden aangevallen. Opvallend detail: bij de aanval in Leiden waren zowel Russische als Iraanse actoren actief (cf. https://www.ad.nl/tech/universiteit-leiden-vermoedelijk-ook-gehackt-door-russen-en-nu-wil-iraanse-groep-geld-zien~a96a3faa/). De Russen baanden zich een weg in het systeem om de data vervolgens door te geven aan Iraniërs.

Wat betreft het transversaal karakter van de vraag: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de Kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2016-2019, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft aldus een transversale aangelegenheid met de Gewesten waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Graag had ik dan ook volgende vragen voorgelegd aan de geachte minister:

1) Graag zouden we een lijst willen krijgen van de belangrijkste, gerichte cyberaanvallen tegen onze infrastructuur en instellingen van de laatste vier jaar. Wat waren de doelwitten? Wie waren de (vermoedelijke) daders? Welke methodes gebruikten ze? Wat is de geraamde schade?

2) Vanuit welk land komen de meeste aanvallen? Welke methodes worden het meest gebruikt? Met welk doel worden deze acties opgezet? Wat zijn de links tussen hackercollectieven en hun overheden? Zijn er patronen te onderscheiden?

3) Behalve de gekende methoden van DDOS'en van instellingen, het gijzelen van gebruikers met ransomware en het proberen te hengelen naar informatie via phishing, welke andere (soms minder bekende) methoden worden nog aangewend?

4) Welke plannen hebben onze overheden om onze digitale infrastructuren weerbaarder te maken tegen georganiseerde aanvallen? Hoe ver staan ze reeds hierin? Wat staat er nog gepland? Hangt dit grotendeels samen met de software, of wordt ook de hardware aangepakt of vervangen (vernieuwd)? Waarom?

5) Hoe kan België samenwerken met andere actoren (bijvoorbeeld Europees Unie, Interpol, enz.) tegen dit soort transgressies van buitenlandse actoren?

 
Réponse reçue le 12 aôut 2021 : Antwoord ontvangen op 12 augustus 2021 :

1) La Federal Computer Crime Unit (FCCU) ne peut, en raison du secret de l’enquête, répondre à cette question et la transmet au Ministère Public. Il convient également de noter que toutes les cyber-attaques contre les infrastructures et les institutions belges ne sont pas signalées aux services de police, ce qui signifie que la FCCU ne dispose pas d'un tableau complet. En outre, en fonction de la cible et de la nature de l'attaque, une enquête policière peut également être menée au niveau des Regional Computer Crime Units (RCCU).

Au vu de ce qui précède et du rôle que le Centre de Cybersécurité Belgique (CCB) remplit dans cette matière, il nous semble qu’ils sont mieux placés que nous pour répondre à cette question.

2) Encore une fois, la FCCU ne peut pas entrer dans le détail des enquêtes spécifiques. Par ailleurs, avant de pouvoir qualifier l'origine, les objectifs et les modes opératoires des auteurs, il importe d'abord d'identifier les auteurs, ce qui n'est pas toujours évident.

D'une manière générale, les méthodes des auteurs reposent principalement sur l'accès aux systèmes à l'aide de connexions légitimes (en raison de mots de passe faibles, de l'utilisation de mots de passe par défaut ou de mots de passe obtenus via une campagne de phishing) et de failles qui existent souvent depuis longtemps en raison d'une politique de mise à jour inadéquate.

Une fois que les auteurs ont accès aux systèmes, les outils et les méthodes utilisés varient en fonction de leurs compétences et de leurs objectifs. Il est possible d'observer certains schémas qui permettent d'attribuer une attaque à un acteur ou à un groupe particulier. Ces modèles sont généralement identifiés et publiés par les entreprises de cybersécurité (qui ont une vision mondiale de la question).

L’attribution d’une attaque à un groupement d’auteurs ou acteur étatique précis doit toutefois être réalisée avec une certaine prudence: En effet, dans un environnement numérique, il y a rarement des traces qui pointent dans une certaine direction avec une certitude absolue, et les méthodes et techniques peuvent être délibérément imitées. En outre, à l'ère du «Cybercrime-as-a-Service (CaaS)», les auteurs de crimes louent de plus en plus les mêmes outils ou infrastructures, ce qui rend encore plus complexe la distinction de leur modus operandi unique.

3) Le phishing et le ransomware sont certainement des phénomènes de cybercriminalité actuels très importants, bien que chacun ait une finalité différente: le phishing vise à obtenir des données d'identification en vue de commettre d'autres délits, tandis que le ransomware est un délit en soi.

Pour les autres tendances, nous vous renvoyons à l’Internet Organized Crime Threat Assessment (IOCTA), le rapport stratégique publié chaque année par le European Cybercrime Center (EC3) d’Europol qui contient les principales conclusions et les menaces et développements émergents dans le domaine de la cybercriminalité.

Bien que l'IOCTA brosse un tableau des macro-évolutions de la cybercriminalité pour l'ensemble de l'Europe, nous pouvons confirmer que les conclusions de ce rapport sont également très représentatives de la situation en Belgique.

Il est impossible d'énumérer toutes les méthodes et manifestations de la cybercriminalité, mais, en référence à la réponse à la question 2, on peut dire que les mots de passe faibles ou compromis et les mauvaises politiques de mise à jour sont à l'origine de la majorité des incidents de cybercriminalité.

4) En tant que service de police, la FCCU participe aux enquêtes sur les cyber-attaques complexes et est, en d'autres termes, chargée du volet répressif dans la chaîne de la cybersécurité.

Le renforcement de la cybersécurité de nos institutions et de nos entreprises fait, quant à lui, partie des missions du Centre de Cybersécurité Belgique (CCB).

5) Il est clair que dans la lutte contre la cybercriminalité, la coopération internationale est une importante clé du succès – tant dans les cas concrets que dans l'élaboration de cadres juridiques ou d'accords de coopération.

Les services de police belges y contribuent en coopérant, dans la mesure du possible, au niveau international dans le cadre de dossiers opérationnels, en contribuant à des projets (de recherche) européens ou en partageant leurs connaissances et leur expertise par le biais de plateformes de connaissances internationales. Souvent, cela se fera par le biais des plateformes mises à disposition par Europol.

Nous notons également que de nombreuses initiatives législatives sont en cours dans ce cadre, telles qu'une nouvelle directive NIS pour la sécurité des réseaux et de l'information (dite NIS2), une extension du protocole de coopération contenu dans la convention de Budapest sur la cybercriminalité et des initiatives de l'UE sur l'accès transfrontalier aux preuves électroniques ou la création d'une Joint Cyber Unit.

1) De Federale Computer Crime Unit (FCCU) kan, omwille van het geheim van het onderzoek, deze vraag niet beantwoorden en verwijst dienaangaande door naar het Openbaar Ministerie. Er dient tevens te worden opgemerkt dat niet elke cyberaanval tegen de Belgische infrastructuur en instellingen het voorwerp uitmaakt van een aangifte bij de politiediensten, waardoor FCCU niet beschikt over een complete beeldvorming dienaangaande. Bovendien kan, afhankelijk van het doelwit en de aard van de aanval, een politioneel onderzoek desgevallend ook worden gevoerd op het niveau van de Regionale Computer Crime Units (RCCU).

Gezien het voorgaande en gezien de rol die het Centrum voor Cybersecurity België (CCB) vervult in deze materie, zijn zij ons inziens beter geplaatst om deze vraag te beantwoorden.

2) Ook hier kan de FCCU niet in detail gaan met betrekking tot specifieke onderzoeken. Alvorens de herkomst, doelen en patronen van de daders te kunnen kwalificeren is het bovendien vooreerst van belang om de daders te identificeren, hetgeen niet altijd evident is.

Met betrekking tot de methodes van de daders kan in het algemeen worden gesteld dat ze zich hoofdzakelijk toegang verschaffen tot systemen gebruik makende van enerzijds legitieme login-gegevens (omwille van zwakke wachtwoorden, het gebruik van standaard-wachtwoorden of wachtwoorden die worden achterhaald middels een phishingcampagne) en anderzijds kwetsbaarheden die vaak, omwille van een gebrekkig updatebeleid, gedurende lange tijd bestaan.

Zodra de daders toegang hebben tot de systemen variëren de gehanteerde gereedschappen en methodes al naargelang hun vaardigheden en doelstellingen. Het is zeker zo dat er bepaalde patronen kunnen worden waargenomen, aan de hand waarvan een aanval aan een bepaald actor of groepering kan worden toegeschreven. Zulke patronen worden doorgaans geïdentificeerd en gepubliceerd door cybersecuritybedrijven (die dienaangaande een wereldwijd beeld hebben).

De attributie van een aanval aan een bepaalde dadergroepering of statelijke actor dient echter steeds met enige voorzichtigheid te gebeuren: in een digitale omgeving zijn er immers zelden sporen die met absolute zekerheid in een bepaalde richting wijzen en methodes en technieken kunnen doelbewust worden nagebootst. Bovendien huren daders in het tijdperk van «Cybercrime-as-a-Service (CaaS)» ook steeds vaker dezelfde tools of infrastructuur, waardoor het nog complexer wordt om hun unieke modus operandi te onderscheiden.

3) Phishing en ransomware zijn zeker en vast zeer belangrijke actuele fenomenen inzake cybercriminaliteit, weliswaar elk met een andere finaliteit: phishing is gericht op het bekomen van identificatiegegevens met het oog op het plegen van andere misdrijven, terwijl ransomware het misdrijf an sich uitmaakt.

Voor wat betreft andere tendensen verwijzen wij graag naar de Internet Organized Crime Threat Assessment (IOCTA), het strategische rapport dat het European Cybercrime Center (EC3) van Europol elk jaar publiceert en dat de belangrijkste bevindingen en opkomende bedreigingen en ontwikkelingen op het gebied van cybercriminaliteit bevat.

Niettegenstaande de IOCTA een beeld schetst voor de macro-ontwikkelingen inzake cybercriminaliteit voor heel Europa, kunnen wij bevestigen dat de bevindingen uit dit rapport ook zeer representatief zijn voor de situatie in België.

Het oplijsten van alle gehanteerde methodes en verschijningsvormen van cybercriminaliteit is onbegonnen werk, maar, verwijzende naar het antwoord op vraag 2, kan worden gesteld dat zwakke of gecompromitteerde paswoorden en een gebrekkig updatebeleid aan de basis liggen van het gros van de feiten van cybercriminaliteit.

4) De FCCU is als politiedienst betrokken bij het onderzoeken van complexe cyberaanvallen en is, met andere woorden, belast met het repressieve luik in de cyberveiligheidsketen.

Het verhogen van de cyberveiligheid van onze instellingen en ondernemingen behoort daarentegen tot de opdrachten van het Centrum voor Cybersecurity België (CCB).

5) Het is duidelijk dat inzake het bestrijden van cybercriminaliteit internationale samenwerking een belangrijke sleutel vormt om succes te kunnen boeken – en dit zowel in concrete dossiers als in het uitwerken van wettelijke kaders of samenwerkingsverbanden.

De Belgische politiediensten dragen hiertoe bij door, waar mogelijk, internationaal samen te werken in operationele dossiers, bij te dragen aan Europese (onderzoeks)projecten of hun kennis en expertise te delen via internationale kennisplatformen. Veelal zal dit gebeuren via de platformen die Europol ter beschikking stelt.

We stellen bovendien vast dat er tal van wetgevende initiatieven lopen in dit kader, zoals bijvoorbeeld een nieuwe NIS-richtlijn voor netwerk- en informatiebeveiliging (de zogenaamde NIS2), een uitbreiding van het samenwerkingsprotocol vervat in de Budapest cybercrimeconventie en EU-initiatieven inzake grensoverschrijdende toegang tot elektronisch bewijsmateriaal of de oprichting van een zogenaamde Joint Cyber Unit.