SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2022-2023 Zitting 2022-2023
________________
10 novembre 2022 10 november 2022
________________
Question écrite n° 7-1816 Schriftelijke vraag nr. 7-1816

de Tom Ongena (Open Vld)
van Tom Ongena (Open Vld)

au premier ministre
aan de eerste minister
________________
Piratage - Protection des données - Pièges numériques - Détection des appareils intelligents non sécurisés - Chiffres et tendances Hacking - Databescherming - Digitale lokdozen - Opsporing van onveilige slimme apparaten - Cijfers en tendensen 
________________
piratage informatique
statistique officielle
guerre de l'information
sécurité des systèmes d'information
 computerpiraterij
officiële statistiek
informatieoorlog
informatiebeveiliging
________ ________
10/11/2022Verzending vraag
(Einde van de antwoordtermijn: 15/12/2022)
10/11/2022Verzending vraag
(Einde van de antwoordtermijn: 15/12/2022)
________ ________
Ook gesteld aan : schriftelijke vraag 7-1817
Ook gesteld aan : schriftelijke vraag 7-1818
Heringediend als : schriftelijke vraag 7-2203		 Ook gesteld aan : schriftelijke vraag 7-1817
Ook gesteld aan : schriftelijke vraag 7-1818
Heringediend als : schriftelijke vraag 7-2203
________ ________
Question n° 7-1816 du 10 novembre 2022 : (Question posée en néerlandais) Vraag nr. 7-1816 d.d. 10 november 2022 : (Vraag gesteld in het Nederlands)

Les routeurs, les disques réseau et les caméras de surveillance non sécurisés demeurent un problème malgré le durcissement des règles. Des experts mettent en garde contre ce danger. Certes, les appareils non sécurisés n'affluent plus sur le marché, mais ce coup d'arrêt intervient après des années de libre circulation.

Comme a pu le constater l'organisation néerlandaise de radio- et télédiffusion NOS (Nederlandse Omroep Stichting) lors de sa tournée des services publics, personne au sein des autorités néerlandaises n'est chargé de détecter structurellement ces appareils intelligents non sécurisés. Et pendant ce temps, de nombreux cybercriminels explorent l'internet à longueur de journée, de manière largement automatisée, à la recherche de victimes inconscientes du danger.

Les criminels se servent de ces appareils pour mener des attaques DDoS attaques collectives par saturation de service), envoyer des spams et lancer de nouvelles attaques de piratage. Les services de renseignement, eux aussi, ont les appareils intelligents dans leur collimateur.

Les autorités pourraient lutter contre ce phénomène en plaçant des pièges contenant des appareils vulnérables ou en recherchant elles-mêmes de tels appareils chez les utilisateurs d'internet, mais elles ne font ni l'un, ni l'autre. Tout en est resté au stade de projet pilote.

L'agence néerlandaise des télécommunications (Agentschap Telecom) a choisi de ne pas reprendre le flambeau pour l'instant, et ce pour des raisons techniques et juridiques. Selon l'inspectrice générale Angeline Van Dijk, il s'agit d'une expérience intéressante, mais qui se heurte encore aux règles relatives à la vie privée et soulève toujours des questions en termes de risques techniques.

Ailleurs dans les services publics, personne n'effectue un travail similaire. Le centre national néerlandais de la cybersécurité (Nationaal Cyber Security Centrum) se concentre uniquement sur les pouvoirs publics et les entreprises critiques, et la police pointe la responsabilité personnelle des propriétaires (cf. https://nos.nl/artikel/2449517 onveilige slimme apparaten straks van de markt geweerd maar risico s blijven).

Entre-temps, plusieurs routeurs de particuliers et de petites et moyennes entreprises aux Pays-Bas ont été piratés par un groupe militaire russe tristement célèbre dans ce domaine. Ils ont ainsi été intégrés à un réseau d'attaque mondial de plusieurs milliers d'appareils piratés, contrôlés par l'«Unité 74455» russe.

L'«Unité 74455», aussi appelée «Sandworm of BlackEnergy», fait partie du service de renseignement militaire russe, le GRU, et est considérée par des sociétés de sécurité internationales comme le groupe de piratage le plus dangereux au monde. Ce groupe est spécialisé dans l'influence et le sabotage.

Le Service néerlandais de renseignement et de sécurité militaire (Militaire Inlichtingen- en Veiligheidsdienst – MIVD) a fait cette découverte à la suite d'avertissements lancés fin février 2022 par les services de sécurité britanniques et américains, selon lesquels des pirates informatiques russes utilisent un nouveau type de logiciel malveillant, appelé Cyclops Blink. Ce dernier s'introduit dans des routeurs, notamment «WatchGuard», et crée ainsi un réseau d'attaque que l'on appelle aussi «botnet» (cf. https://www.volkskrant.nl/nieuws achtergrond/mivd verstoort russische digitale aanval op routers van nederlandse burgers~b586c806/).

En ce qui concerne le caractère transversal de la question écrite: les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui devront être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la note-cadre de sécurité intégrale et dans le Plan national de sécurité 2022-2025 et ont été discutés lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Il s'agit donc d'une matière transversale qui relève également des Régions, le rôle de ces dernières se situant surtout dans le domaine de la prévention.

Je souhaiterais dès lors vous poser les questions suivantes:

1) Pouvez-vous indiquer si une initiative de «piège» numérique a été, est ou sera menée auprès des diverses autorités belges? Si oui, quelles constatations ont été faites dans ce cadre? Où ces pièges ont-ils été installés, ou prévoit-on de placer de tels dispositifs? Si non, pourquoi?

2) A-t-on choisi d'autres moyens pour détecter de manière structurelle les appareils intelligents non sécurisés? Si oui, en quoi consistent ces projets? Combien y en a-t-il eu au cours des trois dernières années? Quel fut l'objectif poursuivi? Quelles conclusions ont été tirées de ces expériences? Si non, pourquoi?

3) Pouvez-vous indiquer le nombre de routeurs, de disques réseau et de caméras de surveillance contenant des informations sensibles des autorités que l'on estime vulnérables au piratage et à d'autres formes d'intrusion? Quelles mesures ont déjà été prises pour éviter les risques en la matière? Quels projets sont encore en chantier? En quoi consistent-ils?

4) Combien d'appareils, de disques durs, de routeurs, etc. des pouvoirs publics ont été piratés ces trois dernières années? Des tendances se dessinent-elles? D'où provenaient ces attaques? Quelles données ont été les plus prisées lors de ces intrusions? Peut-on observer des évolutions à cet égard?

5) Pourriez-vous fournir les derniers chiffres concernant les serveurs, routeurs, ordinateurs, etc., qui ont été infectés par un logiciel malveillant et ont ainsi été intégrés à un «botnet» (réseau d'attaque)? À partir de quels pays ces «botnets» sont-ils pilotés? Combien d'attaques sont menées depuis notre pays? A-t-on aussi découvert des «botnets» commandés par des Belges? Si oui, combien? Quelles peines ont été infligées à ces personnes?

6) A-t-on connaissance de cas d'intrusion de l'«Unité 74455» (aussi appelée «Sandworm of BlackErnergy») ou de «Cyclops Blink» sur nos réseaux? Dans l'affirmative, combien de cas ont été recensés ces trois dernières années? Sur quels serveurs ou dans quelles banques de données, etc., ont-ils été découverts? Quelles mesures ont été prises pour lutter contre ces attaques? Quel est le montant des dommages financiers pour chaque piratage «réussi» par de tels acteurs étrangers? Les attaques se sont-elles intensifiées depuis février 2022?

7) Pourriez-vous fournir la liste la plus récente de cyberattaques sur notre infrastructure sensible? De quels pays proviennent pareilles tentatives d'intrusion? Combien en dénombre-t-on par mois? Quelles sont les cibles les plus courantes?

8) Pouvez-vous aussi préciser dans quelle mesure les smartphones et autres appareils de ce type sont sécurisés contre ce genre d'attaques ? Combien de smartphones belges font partie de «botnets»? Pourriez-vous, si possible, donner des chiffres à cet égard? Quels sont les risques que présentent uniquement les smartphones piratés au moyen de tels logiciels d'intrusion?

 

Onveilige routers, netwerkschijven en beveiligingscamera's blijven ondanks strengere regels een probleem. Daarvoor waarschuwen deskundigen. De toestroom aan onveilige apparatuur wordt weliswaar gestopt, maar dat gebeurt na jarenlang dweilen met de kraan open.

Niemand bij de Nederlandse overheid is bezig met het structureel opsporen van die onveilige slimme apparaten, blijkt uit een rondgang van de NOS (de Nederlandse Omroep Stichting). Dat terwijl veel internetcriminelen niets anders doen: de hele dag zoeken ze, grotendeels geautomatiseerd, het internet af op zoek naar onwetende slachtoffers.

Daarmee kunnen criminelen DDoS («distributed denial of service»)-aanvallen uitvoeren, spam versturen en nieuwe hackaanvallen lanceren. Ook inlichtingendiensten hebben het op slimme apparaten gemunt.

Overheden zouden dat kunnen tegengaan door lokdozen neer te zetten met kwetsbare apparaten, of door zelf op zoek te gaan naar kwetsbare apparaten bij internetgebruikers thuis. Maar dat gebeurt allebei niet. Het bleef bij een proefproject.

Het Nederlandse Agentschap Telecom heeft ervoor gekozen om het stokje vooralsnog niet over te nemen, om «technische en juridische» redenen. «Het is een interessant experiment, maar we lopen nu nog aan tegen privacyregels en hebben nog wat vragen over de technische risico's», zegt inspecteur-generaal Angeline van Dijk.

Ook elders binnen de overheid is niemand met iets vergelijkbaars bezig: het Nederlandse Nationaal Cyber Security Centrum richt zich enkel op overheid en kritieke bedrijven ; de politie wijst op de «eigen verantwoordelijkheid» van eigenaren (cf. https://nos.nl/artikel/2449517-onveilige-slimme-apparaten-straks-van-de-markt-geweerd-maar-risico-s-blijven).

Een aantal Nederlandse routers van particulieren en kleine en middelgrote bedrijven zijn ook intussen gehackt geworden door een beruchte Russische militaire hackgroep. De apparaten maken daardoor deel uit van een wereldwijd aanvalsnetwerk van duizenden gehackte apparaten onder controle van de Russische «Eenheid 74455».

«Eenheid 74455», ook wel «Sandworm of BlackEnergy» genoemd, is onderdeel van de Russische militaire inlichtingendienst GROe («Glavnoje Razvedyvatelnoje Oepravlenije») en wordt door internationale beveiligingsbedrijven wel de «gevaarlijkste hackgroep ter wereldç» genoemd. De groep richt zich op beïnvloeding en sabotage.

De ontdekking van de Nederlandse Militaire Inlichtingen- en Veiligheidsdienst (MIVD) volgt op waarschuwingen van Britse en Amerikaanse veiligheidsdiensten eind februari 2022 dat Russische «hackers» een nieuw soort «malwar» gebruiken, genaamd «CyclopsBlink». Die dringt routers binnen van onder andere «WatchGuard» en creëert daarmee een aanvalsnetwerk, ook wel een «botnet» genoemd (cf. https://www.volkskrant.nl/nieuws-achtergrond/mivd-verstoort-russische-digitale-aanval-op-routers-van-nederlandse-burgers~b586c806/).

Wat betreft het transversaal karakter van de schriftelijke vraag: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de Kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2022-2025, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft aldus een transversale aangelegenheid met de Gewesten waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Graag had ik dan ook volgende vragen voorgelegd:

1) Kunt u meedelen of er bij de verschillende Belgische overheden een digitaal «lokdoos»-initiatief heeft plaatsgevonden, plaatsvindt of zal plaatsvinden? Indien ja, wat waren de bevindingen die men maakte hieromtrent? Waar werden deze geïmplementeerd of plant men dergelijke systemen te implementeren? Indien neen, waarom niet?

2) Worden er andere middelen geopteerd om het structureel opsporen van onveilige slimme apparaten te bewerkstelligen? Indien ja, wat houden dergelijke projecten in? Hoeveel waren er in de jongste drie jaar? Wat was hun doel? En wat waren de uiteindelijke bevindingen? Indien neen, waarom niet?

3) Kunt u meedelen hoeveel routers, netwerkschijven en beveiligingscamera's met gevoelige overheidsinformatie geschat wordt kwetsbaar te zijn voor hacking en andere vormen van intrusie? Welke stappen zijn er reeds gezet om dergelijke gevaren te voorkomen? Welke plannen staan er nog in de steigers? Wat inhouden ze?

4) Hoeveel apparaten, harde schijven, routers, enz., van de overheid zijn er in de voorbije drie jaren slachtoffer geworden van hacking? Zijn er tendensen te bemerken? Van waar uit werden dergelijke acties gestuurd? Welke gegevens zijn het meest gewild bij dergelijke inbraken? Zijn hier evoluties te bemerken?

5) Zou u de laatste cijfers kunnen meedelen van aangetaste servers, routers, computers, enz., door «malware», waardoor dergelijke apparaten deel uitmaken van een «botnet»? Vanuit welke landen worden dergelijke «botnets» aangestuurd? Hoeveel aanvallen vinden plaats vanuit ons land? Werden er ook «botnet» -netwerken ontdekt die door Belgen werden aangevoerd? Zo ja, hoeveel en welke straffen kregen dergelijke personen?

6) Zijn er gevallen bekend van intrusie op onze netwerken van «enheid 74455», ook wel «Sandworm of BlackEnergy» genoemd of van «CyclopsBlink»? Indien ja, hoeveel in de jongste drie jaar? Op welke servers of gegevensdatabanken en dergelijke werden ze ontdekt? Welke maatregelen werden genomen hiertegen? Wat bedraagt de financiële schade per «gelukte» hack van dergelijke buitenlandse actoren? Zijn de aanvallen intenser geworden sinds eind februari 2022?

7) Zou u de meest recente lijst kunnen meedelen van cyberaanvallen op onze gevoelige infrastructuur? Uit welke landen komen dergelijke inbraakpogingen? Hoeveel waren het er op maandbasis? Wat waren de meest courante doelwitten?

8) Kan u ook meedelen in hoeverre smartphones en dergelijke veilig zijn voor dit soort aanvallen? Hoeveel Belgische smartphones zijn onderdelen van «botnets»? Kan u hier cijfers over verstrekken indien mogelijk? Welke gevaren zijn er uniek voor gehackte smartphones door dergelijke intrusiesoftware?