SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2021-2022 Zitting 2021-2022
________________
27 octobre 2021 27 oktober 2021
________________
Question écrite n° 7-1385 Schriftelijke vraag nr. 7-1385

de Els Ampe (Open Vld)
van Els Ampe (Open Vld)

au vice-premier ministre et ministre de la Justice et de la Mer du Nord
aan de vice-eersteminister en minister van Justitie en Noordzee
________________
Smartphones - Acteurs étatiques - Vie privée - Espionnage - Chiffres et tendances Smartphones - Statelijke actoren - Privacy - Spionage - Cijfers en tendensen 
________________
téléphone mobile
protection des communications
espionnage
Chine
mobiele telefoon
telefoon- en briefgeheim
spionage
China
________ ________
27/10/2021Verzending vraag
(Einde van de antwoordtermijn: 25/11/2021)
15/12/2021Antwoord
27/10/2021Verzending vraag
(Einde van de antwoordtermijn: 25/11/2021)
15/12/2021Antwoord
________ ________
Aussi posée à : question écrite 7-1386 Aussi posée à : question écrite 7-1386
________ ________
Question n° 7-1385 du 27 octobre 2021 : (Question posée en néerlandais) Vraag nr. 7-1385 d.d. 27 oktober 2021 : (Vraag gesteld in het Nederlands)

Un récent rapport de sécurité lituanien révèle que les smartphones en provenance de Chine sont tout sauf sûrs. Outre la fuite habituelle de données qui a déjà défrayé la chronique à propos de marques telles que Xiaomi et Huawei, il apparaît maintenant aussi que certains modèles contiendraient des logiciels de censure (https://www.nrc.nl/nieuws/2021/09/22/litouwen roept op chinese telefoons weg te gooien a4059206).

Le vice-ministre lituanien de la Défense, Margiris Abukevicius, a déjà appelé ses concitoyens à se débarrasser des smartphones des fabricants susmentionnés et à ne pas en acheter de nouveaux.

Selon le rapport de la Défense, un smartphone de la marque Xiaomi contiendrait un logiciel intégré capable de censurer automatiquement des termes tels que " Vive Taïwan " et " Tibet libre ". Le logiciel de censure a été découvert sur le téléphone Mi 10T 5G de Xiaomi et est automatiquement désactivé dans les pays de l'Union européenne dont la Lituanie fait partie. Il peut toutefois être activé à distance, préviennent les experts en cybersécurité des autorités lituaniennes dans le rapport.

Il ressort en outre du rapport que le smartphone de Xiaomi incriminé reconnaîtrait une liste de 449 termes chinois pouvant être censurés. Chez un autre fabricant chinois, Huawei, il est apparu que certains modèles de smartphones envoyaient des données cryptées vers un serveur situé à Singapour.

La présence dans les smartphones chinois de 'portes dérobées' pouvant être activées à tout moment est inquiétante. Le risque d'espionnage qui en découle est très élevé.

C'est aussi pour cette raison que des pays comme la Suède et le Royaume-Uni refusent que des opérateurs chinois de téléphonie mobile comme Huawei participent au déploiement du réseau 5G (https://www.politico.eu/article/sweden faces chinese blowback over huawei ban/). Fin 2018, les États-Unis ont eux aussi adopté une proposition de loi interdisant aux autorités fédérales et à leurs instances de faire des affaires avec ce géant de la technologie chinois (https://www.newstatesman.com/spotlight/2019/11/whats really behind uss huawei ban).

En ce qui concerne le caractère transversal de la question: les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité pour la période 2016-2019 et ont fait l'objet d'un débat lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Cette question concerne dès lors une compétence régionale transversale, les Régions intervenant surtout dans le volet préventif.

Je souhaiterais donc poser au ministre les questions suivantes.

1) Quelle est l'ampleur du risque sécuritaire des smartphones chinois aujourd'hui en Belgique? Des mesures seront-elles prises à cet égard?

2) Existe-t-il des directives à l'intention des hauts dignitaires, des personnalités politiques de premier plan, des professeurs, etc. qui pourraient utiliser des smartphones ou d'autres appareils dont la sécurité ne peut être garantie?

3) Ces smartphones sont-ils également utilisés par des membres des services internes de sécurité comme le SGRS et la Sûreté de l'État? Dispose-t-on de statistiques sur le nombre de smartphones chinois utilisés dans nos services de sécurité?

4) Les collaborateurs de ces services ont-ils reçu des directives sur l'utilisation de smartphone potentiellement 'dangereux'? Peuvent-ils utiliser de tels smartphones dans la sphère privée? Que ce soit le cas ou non, pour quelle raison?

5) Existe-t-il en Belgique des données chiffrées sur le nombre d'utilisateurs de smartphones chinois présentant un problème de sécurité? Dans l'affirmative, quel est leur nombre? Observe-t-on certaines tendances sur les cinq dernières années? À quel niveau placez-vous le risque sécuritaire lié à ces utilisateurs?

6) Le SGRS et la Sûreté de l'État ont-ils reçu des directives relatives à la protection de notre propre infrastructure et de notre vie privée en ce qui concerne ces smartphones chinois à risque?

7) Existe-t-il déjà des cas connus d'envoi secret de données de la Belgique vers la Chine par des smartphones chinois? Dans l'affirmative, quel est le nombre de cas connus et en quelles années ont-ils été observés? De quel type de smartphones s'agissait-il (marque, type, etc.)? Dans la négative, comment les services pourraient-ils mieux détecter ces fuites de données?

8) Quels projets nos autorités mènent-elles pour que nos infrastructures numériques puissent mieux se défendre contre des attaques ou de l'espionnage organisés? Quel est leur état d'avancement? Qu'est-il encore prévu? Est-ce surtout le logiciel qui est en cause ou bien le matériel est-il lui aussi contrôlé ou remplacé (renouvelé)? Pourquoi?

9) Comment la Belgique peut-elle collaborer avec d'autres acteurs (par exemple l'UE, le Conseil de l'Europe, etc.) pour lutter contre ce type de transgressions de la part d'acteurs étrangers?

10) En dehors des smartphones de fabrication chinoise, d'autres appareils en provenance de ce pays peuvent-ils représenter une menace?

11) En dehors de la Chine, d'autres pays peuvent-ils représenter une menace pour la sécurité à travers les appareils qu'ils fournissent?

 

Uit een recent veiligheidsrapport uit Litouwen blijkt dat smartphones uit China allesbehalve veilig zijn. Naast de gebruikelijke datalekken die al eerder in het nieuws kwamen over merken als Xiaomi en Huawei, blijkt nu ook dat bepaalde modellen censuursoftware bevatten (https://www.nrc.nl/nieuws/2021/09/22/litouwen-roept-op-chinese-telefoons-weg-te-gooien-a4059206).

De onderminister van Defensie van Litouwen, Margiris Abukevicius, riep reeds op om de smartphones van de bovengenoemde fabrikanten weg te gooien en niet meer te kopen.

Uit het rapport van Defensie bleek dat een smartphone van het merk 'Xiaomi' ingebouwde software bevat die termen als «Lang leve Taiwan» en «Free Tibet» automatisch kan censureren. De censuursoftware werd gevonden op de Mi 10T 5G telefoon van Xiaomi en is automatisch uitgeschakeld in landen binnen de Europese Unie, waar Litouwen onderdeel van uitmaakt. De software kan echter op afstand ingeschakeld worden, waarschuwen de cyberexperts van de Litouwse overheid in het rapport.

Verder blijkt uit het rapport dat de Xiaomi-smartphone in kwestie een 'verboden lijst' kent van 449 Chinese termen die gecensureerd kunnen worden. Bij een andere Chinese fabrikant, Huawei, bleek dat bepaalde modellen versleutelde data stuurden naar een server in Singapore.

Het feit dat er in Chinese smartphones achterpoortjes zijn ingebouwd die op elk moment geactiveerd kunnen worden, is zorgwekkend. Het gevaar voor spionage is dan ook enorm.

Het is ook om deze reden dat landen als Zweden en het Verenigd Koninkrijk niet toelaten dat Chinese mobiele operatoren, zoals Huawei, meebouwen aan hun 5G-netwerk (https://www.politico.eu/article/sweden-faces-chinese-blowback-over-huawei-ban/). Eind 2018 nam de VS ook een wetsvoorstel aan dat de federale overheid en haar instanties verbiedt zaken te doen met deze Chinese technologiegigant (https://www.newstatesman.com/spotlight/2019/11/whats-really-behind-uss-huawei-ban).

Wat het transversale karakter betreft: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de kadernota integrale veiligheid en het nationaal veiligheidsplan voor de periode 2016-2019, en werden besproken tijdens een interministeriële conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft aldus een transversale Gewestaangelegenheid waarbij de rol van de gewesten vooral ligt in het preventieve luik.

Graag had ik dan ook volgende vragen voorgelegd aan de geachte minister:

1) Hoe groot is het veiligheidsrisico van Chinese smartphones op dit moment in België? Zullen hier maatregelen genomen worden?

2) Zijn er richtlijnen voor hoogwaardigheidsbekleders, prominente politieke figuren, professoren etc. die smartphones of andere apparatuur gebruiken waarvan de veiligheid niet te garanderen valt?

3) Worden deze smartphones ook gebruikt door leden van interne veiligheidsdiensten zoals het ADIV en de VSSE? Zijn er cijfers te geven over het aantal Chinese smartphones bij onze veiligheidsdiensten.

4) Hebben de medewerkers van deze diensten richtlijnen over het gebruik van potentieel 'onveilige' smartphones? Mogen zij privé dit soort smartphones gebruiken? Waarom wel/niet?

5) Zijn er cijfers in omloop in België omtrent het aantal gebruikers van Chinese smartphones die een veiligheidsprobleem vormen? Zo ja, hoeveel zijn er dit? Zijn er trends te bemerken over de laatste vijf jaar? Hoe hoog schat u dit in als veiligheidsrisico?

6) Hebben het ADIV en de VSSE richtlijnen omtrent de bescherming van onze eigen infrastructuur en privacy wanneer het op deze onveilige Chinese smartphones aankomt?

7) Zijn er reeds gevallen bekend dat in België Chinese smartphones data in het geheim terugzenden naar China? Zo ja, hoeveel en in welke jaren? Over welke soort smartphones ging het (merk, type etc.). Zo nee, hoe kunnen de diensten dit beter detecteren?

8) Welke plannen hebben onze overheden om onze digitale infrastructuren weerbaarder te maken tegen georganiseerde aanvallen of spionage? Hoe ver staan ze hier in? Wat staat er nog gepland? Hangt dit grotendeels samen met de software, of wordt ook de hardware aangepakt of vervangen (vernieuwd)? Waarom?

9) Hoe kan België samenwerken met andere actoren (bijvoorbeeld EU, Raad van Europa,…) om in te gaan tegen dit soort transgressies van buitenlandse actoren?

10) Zijn er buiten smartphones van Chinese makelij ook nog andere apparaten die uit dit land komen die een bedreigingrisico kunnen vormen?

11) Buiten China, zijn er nog andere landen waarvan het gebruik van apparatuur uit dat land een bedreiging kan vormen voor de veiligheid?

 
Réponse reçue le 15 décembre 2021 : Antwoord ontvangen op 15 december 2021 :

Le SGRS ne relève pas de mes attributions; je vous fais parvenir ici les éléments de réponse qui m’ont été communiqués par la Sûreté de l’État (VSSE).

1) La VSSE a pris connaissance du rapport du service lituanien et considère que les conclusions sont correctes. Cependant, il est de notoriété publique qu’un certain fabricant de smartphones a collecté secrètement à l’étranger des données d’utilisateurs et qu’il les a transférées sur des serveurs chinois. En mai 2020, un rapport sur les médias a révélé que tant des données relatives aux habitudes de navigation que le «universally unique identifier» d’utilisateurs ont été collectés. Ces data ont ensuite été envoyées en Chine avec un cryptage facile à contourner. En combinaison avec le cadre législatif dans lequel les fabricants chinois de smartphones opèrent, cette pratique est pour le moins problématique sous l’angle du respect de la vie privée et touche potentiellement à des intérêts nationaux en matière de sécurité.

(1 : BREWSTER, T., «Exclusive: Warning Over Chinese Mobile Giant Xiaomi Recording Millions Of People’s «Private» Web and Phone Use», Forbes, 30 avril 2020, consulté sur https://www.forbes.com/sites/thomasbrewster/2020/04/30/exclusive-warning-over-chinese-mobile-giant-xiaomi-recording-millions-of-peoples-private-web-and-phone-use/)

2) La VSSE donne régulièrement des briefings en matière de sécurité à de hauts dignitaires, des personnalités politiques de premier plan, des professeurs de l’enseignement supérieur, etc. Le message général diffusé par le service est qu’une vigilance accrue s’impose. Malgré l’absence de preuves observées que les dispositifs sont utilisés à des fins d’espionnage, on peut déduire – à partir d’informations disponibles dans des sources ouvertes (en l’occurrence la législation chinoise dans le cadre de laquelle les fabricants opèrent) – qu’il est théoriquement possible que les dispositifs et les informations qu’ils traitent soient exposés à l’espionnage chinois. La VSSE recommande donc la vigilance, surtout lorsqu’il s’agit de data sensibles.

3) La VSSE n’utilise pas de smartphones chinois.

4) Les collaborateurs de la VSSE reçoivent une formation sur la manière de gérer des informations sensibles et classifiées. Ils savent qu’ils doivent les protéger. Cela implique également que ces informations ne doivent pas se trouver sur des appareils privés ni être discutées par téléphone (privé ou professionnel).

5) La VSSE ne dispose pas de chiffres de vente de fabricants de smartphones en Belgique. Au niveau mondial, les ventes de smartphones Huawei diminuent depuis quelques années déjà.

6) La VSSE recommande la plus grande prudence avec l’utilisation de smartphones de ce type. Le cadre légal dans lequel les entreprises chinoises de smartphones opèrent constitue un risque tant pour le respect de la vie privée que pour la perte de données sensibles.

7) La VSSE n’a pas mené d’enquête ciblée ou approfondie sur les smartphones en question. Vu les constatations de l’étude lituanienne et l’étude évoquée dans la réponse au point 1 de la question, nous pouvons partir du principe que des data d’utilisateurs belges de smartphones se sont également retrouvées sur des serveurs chinois.

8) Il est préférable que ce point de la question soit traité par le Centre pour la cybersécurité en Belgique (CCB), l’autorité nationale pour la cybersécurité en Belgique, qui relève de la compétence de mon collègue, le premier ministre.

9) Cette question relève de la compétence de ma collègue, la ministre des Affaires étrangères.

10) Le cadre légal et économique en République populaire de Chine contraint toutes les entreprises à collaborer avec les autorités et les services de renseignement si ceux-ci le demandent. Je me réfère donc à la réponse à la question 55-2-000466. Les appareils de producteurs chinois qui sont connectés à Internet et sur lesquels se trouvent des informations susceptibles d’intéresser les autorités chinoises peuvent donc tous constituer un risque en matière de sécurité.

11) La VSSE conseille d’examiner la sécurité de l’information comme un tout, plutôt que des pays spécifiques. Chaque appareil connecté à Internet peut être piraté et transmettre des données. Il est donc recommandé d’examiner quelles informations se trouvent sur ces appareils et comment elles sont protégées plutôt que des pays individuels.

Het ADIV valt niet onder mijn bevoegdheid, ik laat u hierbij de antwoorden geworden die mij door de Veiligheid van de Staat (VSSE) werden verstrekt.

1) De VSSE heeft kennis genomen van het rapport van de Litouwse dienst en beschouwt de bevindingen als correct. Van een bepaalde smartphoneproducent is het publiekelijk gekend dat het bedrijf in het buitenland op heimelijke wijze gebruikersgegevens heeft verzameld en doorgestuurd naar Chinese servers. Uit mediarapportage van mei 2020 bleek dat zowel gegevens over het surfgedrag als de «universally unique identifier» van gebruikers werd verzameld. Vervolgens werden deze data met een eenvoudig te omzeilen encryptie verstuurd naar China. In combinatie met het wetgevend kader waarin Chinese smartphoneproducenten opereren, is deze praktijk op zijn minst problematisch te noemen vanuit een privacy-standpunt, en raakt het mogelijk aan nationale veiligheidsbelangen.

(1 : BREWSTER, T., «Exclusive: Warning Over Chinese Mobile Giant Xiaomi Recording Millions Of People’s «Private» Web and Phone Use», Forbes, 30 april 2020, geraadpleegd via https://www.forbes.com/sites/thomasbrewster/2020/04/30/exclusive-warning-over-chinese-mobile-giant-xiaomi-recording-millions-of-peoples-private-web-and-phone-use/).

2) De VSSE geeft geregeld veiligheidsbriefings aan hoogwaardigheidsbekleders, prominente politieke figuren, professoren etc. De algemene boodschap die de dienst hierbij meegeeft is dat verhoogde waakzaamheid geboden is. Ondanks het gebrek aan waargenomen bewijs dat de toestellen worden ingezet voor spionagedoeleinden, kan – uit informatie beschikbaar via open bronnen (i.c. de Chinese wetgeving waarin de producenten opereren) – afgeleid worden dat het in theorie mogelijk is dat de apparaten en de informatie die ze verwerken blootgesteld worden aan Chinese spionage. De VSSE adviseert dan ook om waakzaam te zijn, in het bijzonder wanneer het om gevoelige data gaat.

3) De VSSE gebruikt geen Chinese smartphones.

4) Medewerkers van de VSSE worden opgeleid over hoe om te gaan met gevoelige en geclassificeerde informatie. Zij weten dat ze deze moeten afschermen. Dit houdt ook in dat dergelijke informatie niet op privétoestellen mag terecht komen, noch besproken worden via de telefoon (privé of professioneel).

5) De VSSE beschikt niet over verkoopcijfers van smartphonefabrikanten in België. Wereldwijd neemt de verkoop van Huawei smartphones al sedert enkele jaren af.

6) De VSSE adviseert de hoogste waakzaamheid bij het gebruik van dergelijke smartphones. Het wettelijk kader waarin Chinese smartphonebedrijven opereren vormt zowel een risico voor de privacy als voor het verlies van gevoelige gegevens.

7) De VSSE heeft geen gericht of diepgaand onderzoek uitgevoerd naar de smartphones in kwestie. Gezien de vaststellingen van de Litouwse studie en de studie vermeld in het antwoord op vraag 1, kunnen we ervan uitgaan dat ook data van Belgische smartphonegebruikers op Chinese servers is terechtgekomen.

8) Deze vraag kan best worden beantwoord door het Centrum voor cybersecurity België (CCB), de nationale autoriteit voor cyberveiligheid in België, deze valt onder de bevoegdheid van mijn collega, de eerste minister.

9) Deze vraag valt onder de bevoegdheid van mijn collega, de minister van Buitenlandse Zaken.

10) Het wettelijk en economisch kader in de Volksrepubliek China dwingt alle bedrijven om samen te werken met de overheid en de inlichtingendiensten indien deze daarom vragen. Ik verwijs daarom naar het antwoord op vraag 55-2-000466. Apparaten van Chinese producenten die verbonden zijn met het internet en waarop informatie staat die de Chinese overheid interesseert, kunnen dus allemaal een veiligheidsrisico vormen.

11) De VSSE adviseert om eerder te kijken naar informatiebeveiliging als geheel, dan naar specifieke landen. Elk toestel dat verbonden is met het internet kan gehackt worden en gegevens doorsturen. Het is dus eerder raadzaam om te kijken naar welke informatie op zulke toestellen staat, en hoe deze afgeschermd wordt, dan naar individuele landen.