SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2021-2022 Zitting 2021-2022
________________
2 juin 2022 2 juni 2022
________________
Question écrite n° 7-1668 Schriftelijke vraag nr. 7-1668

de Tom Ongena (Open Vld)
van Tom Ongena (Open Vld)

à la ministre de la Défense
aan de minister van Defensie
________________
Défense - Applications de messagerie instantanée - Utilisation - Risques pour la sécurité - Piratage - Acteurs étatiques - Chiffres et tendances - Interdiction éventuelle - Autres mesures Defensie - Instant-messaging applicaties - Gebruik - Veiligheidsrisico's - Hacking - Statelijke actoren - Cijfers en tendensen - Mogelijke verbod - Andere maatregelen 
________________
télécommunication sans fil
courrier électronique
sécurité des systèmes d'information
armée
statistique officielle
médias sociaux
sécurité publique
radiocommunicatie
elektronische post
informatiebeveiliging
krijgsmacht
officiële statistiek
sociale media
openbare veiligheid
________ ________
2/6/2022Verzending vraag
(Einde van de antwoordtermijn: 7/7/2022)
19/7/2022Antwoord
2/6/2022Verzending vraag
(Einde van de antwoordtermijn: 7/7/2022)
19/7/2022Antwoord
________ ________
Ook gesteld aan : schriftelijke vraag 7-1669 Ook gesteld aan : schriftelijke vraag 7-1669
________ ________
Question n° 7-1668 du 2 juin 2022 : (Question posée en néerlandais) Vraag nr. 7-1668 d.d. 2 juni 2022 : (Vraag gesteld in het Nederlands)

L'armée suisse et l'armée britannique déconseillent à leurs militaires de continuer à communiquer au moyen de la célèbre application WhatsApp.

L'armée britannique a interdit l'utilisation de WhatsApp car elle craint que la Russie ne pirate la plateforme pour obtenir des informations sensibles sur le plan opérationnel. Tous les membres du personnel, des officiers supérieurs aux soldats en formation, doivent cesser d'utiliser l'application à des fins professionnelles, faute de quoi ils s'exposent à des sanctions. Dans un document du ministère britannique de la Défense qui confirme l'interdiction, on peut lire que l'utilisation de WhatsApp présente «des risques sérieux pour la sécurité» (cf. https://www.dailymail.co.uk/news/article 10633873/British soldiers ordered WhatsApp hacking fears.html).

L'interdiction avec effet immédiat fait suite à un communiqué du Daily Mail affirmant que la Russie a utilisé des données téléphoniques mobiles de Britanniques pour choisir les cibles de ses attaques aériennes en Ukraine.

L'armée suisse a, elle aussi, annoncé mettre fin à l'utilisation de services de messagerie instantanée étrangers tels que WhatsApp, Signal et Telegram pour les communications officielles. Pour les remplacer, elle a choisi une application suisse, en partie parce qu'elle est préoccupée par la législation de Washington qui régit la manière dont les autorités américaines peuvent accéder à des informations détenues par des entreprises du secteur technologique (cf. https://apnews.com/article/technology business europe army instant messaging d3c7c8fd54a78e8cc17fe930014d92d2).

Le courrier initial indiquait qu'aucun autre service de messagerie ne serait autorisé pour les dirigeants militaires, mais un porte-parole a ensuite paru déforcer quelque peu le décret et l'a présenté comme une «recommandation» (cf. https://www.theverge.com/2022/1/7/22871881/swiss army whatsapp messaging threema privacy concerns us jurisdiction).

Les services de renseignement, parmi lesquels les services britanniques et américains, avaient annoncé précédemment être parvenus à intercepter des discussions sur WhatsApp et à localiser les émetteurs des messages. On estime qu'il est très probable que la Russie dispose elle aussi de cette capacité.

En ce qui concerne le caractère transversal de la question écrite : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui devront être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la note-cadre de sécurité intégrale et dans le Plan national de sécurité 2022-2025 et ont été discutés lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Il s'agit donc d'une matière transversale qui relève également des Régions, le rôle de ces dernières se situant surtout dans le domaine de la prévention.

Je voudrais donc vous poser les questions suivantes.

1) Dans quelle mesure l'utilisation d'applications de messagerie instantanée telles que Signal, Telegram, WhatsApp, etc. est-elle autorisée dans les services de la Défense ? Le cas échéant, pouvez-vous estimer le nombre de personnes qui font usage de telles applications à la Défense ? Des restrictions sont-elles imposées en la matière ? L'état-major général emploie-t-il de telles applications ? Les applications peuvent-elles être utilisées à des fins professionnelles ? Si l'utilisation de ces applications est interdite, peuvent-elles être utilisées à des fins privées ? Si oui, des restrictions sont-elles imposées ?

2) De telles applications ont-elles déjà été utilisées par le passé lors de missions sur le terrain ? Si oui, était-ce risqué, selon vous ? La Défense donne-t-elle des instructions spécifiques pour l'utilisation d'applications de messagerie instantanée ? Si oui, pourriez-vous expliquer brièvement la position de la Défense quant à l'utilisation de telles applications ?

3) Suivez-vous le même raisonnement que les autorités suisses et britanniques qui considèrent que l'utilisation de telles applications peut être dangereuse, voire préjudiciable ? Si oui, pourquoi l'emploi de telles applications n'est-il alors pas encore interdit à la Défense ? Si non, comment peut-on, selon vous, réduire le risque à un minimum ?

4) Nos services de sécurité et de renseignement ont-ils déjà indiqué que l'utilisation de telles applications, et en particulier de WhatsApp, présente un risque important pour la sécurité ? Si oui, combien de mises en garde ont-ils déjà lancées, quelle en était la teneur et quelle suite leur a-t-on donnée ? Certaines applications précises ont-elles été citées ? Si oui, lesquelles ?

5) A-t-on déjà eu connaissance de cas de piratage d'applications de messagerie instantanée utilisées par la Défense ou d'autres services de sécurité ? Si oui, quel était leur nombre et en quelle année cela s'est-il produit ? A-t-on pu identifier les responsables de ces attaques ? Quels dommages a-t-on subis ? De quel type de données les pirates ont-ils pu s'emparer ? Quelles en furent les conséquences ?

6) Au cours des trois dernières années, quels efforts la Défense a-t-elle fournis pour accroître la sécurité de son réseau de communication ? En quoi les adaptations ont-elles consisté, quel a été leur coût et quels sont les effets espérés ? D'autres améliorations sont-elles encore en préparation ? Si oui, pourriez-vous en donner des exemples ?

 

Zowel het Zwitserse als het Britse leger raden af dat hun militairen nog verder communiceren via de bekende applicatie WhatsApp.

Het Britse leger heeft het gebruik van WhatsApp verboden omdat het vreest dat Rusland het platform hackt om operationeel gevoelige informatie te verkrijgen. Al het personeel, van hoge officieren tot soldaten in opleiding, moet stoppen met het gebruik van de applicatie voor beroepsdoeleinden of anders riskeren ze sancties. In een document van het Britse ministerie van Defensie waarin het verbod werd bevestigd, stond dat er «aanzienlijke veiligheidsrisico's» waren rond het gebruik van WhatsApp (cf. https://www.dailymail.co.uk/news/article-10633873/British-soldiers-ordered-WhatsApp-hacking-fears.html).

Het verbod, dat met onmiddellijke ingang ingaat, komt nadat de «Daily Mail» eerder berichtte dat Rusland Britse mobiele telefoongegevens gebruikte om doelen voor luchtaanvallen in Oekraïne te selecteren.

Het Zwitserse leger heeft ook aangekondigd te stoppen met het gebruik van buitenlandse instant-messaging diensten zoals WhatsApp, Signal en Telegram voor officiële communicatie. In plaats daarvan kiest het voor een Zwitsers alternatief - deels uit bezorgdheid over de wetgeving in Washington die regelt hoe Amerikaanse autoriteiten toegang kunnen krijgen tot informatie die in handen is van techbedrijven (cf. https://apnews.com/article/technology-business-europe-army-instant-messaging-d3c7c8fd54a78e8cc17fe930014d92d2).

De oorspronkelijke brief gaf aan dat voor legerleiders «geen andere berichtendienst zal worden toegestaan» hoewel een woordvoerder vervolgens de kracht van het decreet leek af te zwakken en het later beschreef als een «aanbeveling» (cf. https://www.theverge.com/2022/1/7/22871881/swiss-army-whatsapp-messaging-threema-privacy-concerns-us-jurisdiction).

Inlichtingendiensten, waaronder de Britse en Amerikaanse, gaven eerder aan erin geslaagd te zijn WhatsApp-gesprekken te hebben onderschept en de afzenders van de berichten gelokaliseerd te kunnen hebben. Het wordt zeer waarschijnlijk geacht dat Rusland over dezelfde mogelijkheid beschikt.

Wat betreft het transversaal karakter van de schriftelijke vraag: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de Kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2022-2025, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft aldus een transversale aangelegenheid met de Gewesten waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Graag had ik dan ook volgende vragen voorgelegd:

1) In hoeverre instant-messaging applicaties zoals Signal, Telegram, WhatsApp, enz., worden toegelaten voor gebruik bij de diensten van Defensie? Indien ja, kan u inschatten hoeveel personen bij Defensie dergelijke apps gebruiken? Zijn er beperkingen opgelegd hieromtrent? Gebruikt de generale staf dergelijke applicaties? Mogen de applicaties voor professionele doeleinden gebruikt worden? Zo neen, mogen deze applicaties dan wel voor privédoeleinden gebruikt worden? Indien ja, zijn er restricties die men krijgt opgelegd?

2) Werden dergelijke applicaties in het verleden gebruikt tijdens missies in het veld? Zo ja, waren er volgens u risico's aan verbonden? Krijgt men specifieke instructies bij Defensie inzake het gebruik van instant-messaging applicaties? Indien ja, zou u kort kunnen toelichten wat het standpunt is bij Defensie over het gebruik hiervan?

3) Volgt u de redenering van de Zwitserse en Britse autoriteiten dat het gebruik van dergelijke applicaties onveilig of zelfs schadelijk kan zijn? Indien ja, waarom is het gebruik van dergelijke applicaties dan nog niet verboden bij Defensie? Indien neen, hoe kan volgens u het risico tot een minimum beperkt worden?

4) Zijn er reeds signalen gekomen van onze veiligheids- en inlichtingendiensten die aangaven dat het gebruik van dergelijke applicaties, WhatsApp in het bijzonder, grote veiligheidsrisico's inhoudt? Indien ja, hoeveel waarschuwingen, wat hielden deze in en wat werd ermee gedaan? Werden er specifieke apps genoemd? Indien ja, welke?

5) Zijn er reeds gevallen van hacking bekend geweest van instant-messaging applicaties die gebruikt werden door Defensie of andere veiligheidsdiensten? Indien ja, hoeveel waren er dit en in welke jaren gebeurde dit? Heeft men kunnen achterhalen wie erachter zat? Wat was de geleden schade? Welke soort van data kon worden buitgemaakt? Welke gevolgen waren hieraan verbonden?

6) Welke inspanningen heeft Defensie in de jongste drie jaar geleverd om de veiligheid van hun communicatienetwerk te verhogen? Wat hielden de aanpassingen in, hoeveel kostte dit en wat zijn de beoogde effecten? Staan er nog andere verbeteringen in de steigers? Indien ja, zou u dit kunnen illustreren?

 
Réponse reçue le 19 juillet 2022 : Antwoord ontvangen op 19 juli 2022 :

L’honorable membre est prié de trouver ci-après la réponse à ses questions.

1) Les applications de messagerie instantanée sont utilisées dans le monde entier de façon quotidienne. Une distinction doit être faite entre l’utilisation professionnelle et privée de ces applications.

Pour un usage professionnel quotidien, la Défense propose «Skype for Business» comme solution de messagerie instantanée, qui sera remplacée prochainement par «Microsoft Teams».

Au niveau national, l’application «Threema» est régulièrement utilisée pour la coordination entre les services de l’État, par exemple dans le cadre des incidents Cyber.

L’usage à titre privé de plateformes de messagerie instantanée n’est pas interdit au sein de la Défense. Néanmoins, la diffusion d’informations classifiées sur de telles applications est évidemment strictement interdite car l’intégrité du contenu transmis ne peut pas être entièrement garantie. Il n’est pas possible de donner une estimation du nombre de personnes travaillant pour la Défense qui utilisent les applications de messagerie les plus populaires du marché.

L’utilisation d’application non sécurisées pour la transmission d’informations à caractère opérationnel doit toujours être analysée avec la plus grande prudence, et ce, en mettant en balance le besoin opérationnel et l’urgence avec le risque de compromission de l’information.

2) En fonction du niveau de menace de la région où des militaires sont déployés, la Défense impose des directives sur l’utilisation des appareils électroniques personnels (téléphones, tablettes, etc.) et des applications de messagerie instantanée. L’utilisation de ces applications comportent toujours un certain risque. Par conséquent, leur utilisation est strictement limitée à des communications non classifiées.

3) Ces applications commerciales ne sont actuellement pas strictement interdites au personnel de la Défense. Comme indiqué ci-dessus, ces applications commerciales ne peuvent toutefois être utilisées que pour la communication d’informations non classifiées.

4) À ce jour, aucun risque de sécurité n’a été constaté à la Défense. Le Service général du renseignement et de sécurité (SGRS) analyse de manière récurrente les différentes applications de messagerie instantanée à usage professionnel au sein de la Défense. Il convient de noter ici qu’il s’agit toujours d’un instantané, car les applications évoluent constamment et les risques sont donc également susceptibles de changer.

Toutes ces applications envoient des journaux de débogage, des informations sur les pannes ou partagent des informations sur la qualité de la connexion, ce qui peut compromettre la confidentialité ou le cryptage de bout en bout. Pour la plupart des applications, des risques ont été identifiés et, en fonction du risque résiduel qui est jugé acceptable, une application particulière et son architecture correspondante peuvent ou non être choisies.

5) On ne connaît aucun cas concret où une application de messagerie instantanée aurait été piratée pendant son utilisation par le personnel de la Défense.

6) La Défense contribue à la sécurité informatique en sensibilisant son personnel aux dangers d’utilisation et à la bonne manière d’agir, ainsi qu’en renforçant régulièrement son réseau. Les ajustements apportés aux infrastructures réseaux sont classifiées et ne peuvent être communiquées publiquement pour des raisons de sécurité.

Het geachte lid gelieve hierna het antwoord te willen vinden op de door hem gestelde vragen.

1) Instant-messaging applicaties worden wereldwijd dagelijks gebruikt. Er dient een onderscheid gemaakt te worden tussen het professionele en het privégebruik van deze applicaties.

Voor het professionele dagelijkse gebruik biedt Defensie als instant-messaging oplossing «Skype for Business» aan, die binnenkort zal vervangen worden door «Microsoft Teams».

Op nationaal niveau wordt de applicatie «Threema» regelmatig gebruikt voor de coördinatie tussen de overheidsdiensten, bijvoorbeeld in het kader van de cyberincidenten.

Het privégebruik van instant-messaging platforms is binnen Defensie niet verboden. Niettemin is de verspreiding van geclassificeerde informatie op dergelijke applicaties uiteraard ten strengste verboden, aangezien de integriteit van de verzonden inhoud niet volledig kan worden gegarandeerd. Het is niet mogelijk om een schatting te geven van het aantal personen dat voor Defensie werkt en gebruik maakt van de populairste berichtenapplicaties op de markt.

Het gebruik van onbeveiligde applicaties voor de overdracht van operationele informatie moet altijd met de grootste omzichtigheid worden geanalyseerd, waarbij de operationele noodzaak en de urgentie moeten worden afgewogen tegen het risico dat de informatie wordt gecompromitteerd.

2) Afhankelijk van het dreigingsniveau van de regio waar militairen worden ingezet, legt Defensie richtlijnen op voor het gebruik van persoonlijke elektronische apparaten (telefoons, tablets, enz.) en instant-messaging applicaties. Het gebruik van deze applicaties brengt altijd een bepaald risico met zich mee. Daarom wordt het gebruik ervan strikt beperkt tot niet-geclassificeerde communicaties.

3) Deze commerciële toepassingen zijn momenteel niet strikt verboden voor Defensiepersoneel. Zoals hierboven vermeld, kunnen deze commerciële toepassingen echter alleen worden gebruikt voor de communicatie van niet-geclassificeerde informatie.

4) Er zijn tot op heden geen veiligheidsrisico’s bij Defensie vastgesteld. Er worden op recurrente basis door Algemene Dienst inlichting en veiligheid (ADIV) analyses gemaakt met betrekking tot de verschillende instant-messaging applicaties voor professioneel gebruik binnen Defensie. Hier dient opgemerkt te worden dat het steeds over een momentopname gaat, aangezien de applicaties steeds verder evolueren en de risico’s dus ook onderhevig zijn aan veranderingen. Al deze applicaties verzenden debug logs, crashinformatie of delen informatie over de verbindingskwaliteit wat de privacy of end-to-end-encryptie in gedrang kan brengen. Voor de meeste toepassingen zijn er risico’s geïdentificeerd en, afhankelijk van het residuele risico dat aanvaardbaar wordt geacht, kan een bepaalde applicatie met zijn bijhorende architectuur al dan niet gekozen worden.

5) Er zijn geen concrete gevallen bekend waarbij een instant-messaging applicatie werd gehackt tijdens het gebruik door het Defensiepersoneel.

6) Defensie draagt bij aan de IT-beveiliging door haar personeel bewust te maken van de gevaren van het gebruik, door te wijzen op de juiste manier van handelen, en door haar netwerk regelmatig te versterken. De aanpassingen aan de netwerkinfrastructuren zijn geclassificeerd en kunnen om veiligheidsredenen niet openbaar worden gecommuniceerd.