SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2022-2023 Zitting 2022-2023
________________
31 janvier 2023 31 januari 2023
________________
Question écrite n° 7-1883 Schriftelijke vraag nr. 7-1883

de Els Ampe (Open Vld)
van Els Ampe (Open Vld)

à la ministre de la Défense
aan de minister van Defensie
________________
TikTok - Risques pour la sécurité - Vie privée - Piratage - Espionnage - Chine - Chiffres et tendances TikTok - Veiligheidsrisico's - Privacy - Hacking - Spionage - China - Cijfers en tendensen 
________________
médias sociaux
Chine
piratage informatique
protection de la vie privée
espionnage
 sociale media
China
computerpiraterij
eerbiediging van het privé-leven
spionage
________ ________
31/1/2023Verzending vraag
(Einde van de antwoordtermijn: 2/3/2023)
29/3/2023Antwoord
31/1/2023Verzending vraag
(Einde van de antwoordtermijn: 2/3/2023)
29/3/2023Antwoord
________ ________
Aussi posée à : question écrite 7-1884
Aussi posée à : question écrite 7-1885		 Aussi posée à : question écrite 7-1884
Aussi posée à : question écrite 7-1885
________ ________
Question n° 7-1883 du 31 janvier 2023 : (Question posée en néerlandais) Vraag nr. 7-1883 d.d. 31 januari 2023 : (Vraag gesteld in het Nederlands)

De nouvelles recherches ont révélé que le navigateur intégré à l'application TikTok avait la capacité de surveiller certains types d'activité des utilisateurs sur les sites Web externes auxquels il accède (cf. https://www.cnet.com/tech/services and software/TikToks in app browser can monitor your keystrokes researcher says/).

D'après des recherches publiées récemment par Felix Krause, chercheur en logiciels basé à Vienne, lorsque les utilisateurs de TikTok accèdent à un site Web via un lien dans l'application TikTok, l'application insère un code dans le site Web qui permet à TikTok de surveiller certaines activités comme les frappes au clavier et ce que les utilisateurs tapent sur ce site (cf. https://krausefx.com/blog/announcing inappbrowsercom see what javascript commands get executed in an in app browser).

Cela pourrait permettre à TikTok de capturer des informations personnelles sur les utilisateurs telles que des numéros de carte de crédit et des mots de passe, bien que l'entreprise affirme ne pas le faire. L'application est capable d'insérer le code et de modifier les sites Web pour permettre cette surveillance car les sites sont ouverts dans le navigateur intégré de TikTok, plutôt que dans un navigateur standard comme Chrome ou Safari.

TikTok, qui est la propriété de l'entreprise chinoise d'Internet ByteDance, a déclaré que le rapport de M. Krause était «inexact et trompeur» et que la fonction en question était utilisée pour «le débogage, le dépannage et la surveillance des performances» (cf. https://www.nytimes.com/2022/08/19/technology/TikTok browser tracking.html).

Pour sa part, le Sénat américain a approuvé à l'unanimité l'exclusion de l'appli populaire TikTok des téléphones professionnels des fonctionnaires gouvernementaux américains. Selon l'initiateur du texte de loi, l'appli chinoise est «un cheval de Troie pour le Parti communiste chinois».

Aux États-Unis, la crainte est grande que TikTok et sa société mère ByteDance puissent partager des informations d'utilisateurs américains avec les autorités chinoises. Le directeur du Federal Bureau of Investigation (FBI), Christopher Wray, a déjà mis en garde contre le fait que les entreprises chinoises sont légalement tenues de partager des informations si le gouvernement chinois le requiert.

Des sources proches du dossier ont confié à l'agence de presse Bloomberg que le gouvernement américain avait déjà tenté de conclure avec TikTok un accord qui devait fournir des garanties de sécurité supplémentaires en ce qui concerne le stockage des données des utilisateurs. La conclusion de cet accord a échoué, le ministère de la Justice s'y étant opposé. Reste aussi à savoir dans quelle mesure un tel accord peut effectivement protéger les données des utilisateurs américains contre les abus (cf. https://www.ad.nl/tech/amerikaanse senaat unaniem ambtenaren mogen geen tiktok meer op hun telefoon hebben~a72ffa42/).

En ce qui concerne le caractère transversal de la question écrite : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui devront être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité 2022-2025 et ont fait l'objet d'un débat lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Il s'agit donc d'une matière transversale qui relève également des Régions, le rôle de ces dernières se situant surtout dans le domaine de la prévention.

J'aimerais dès lors vous poser les questions suivantes :

1) Nos services de sécurité et spécialistes des technologies de l'information vous ont-ils déjà communiqué des éléments indiquant que l'application chinoise TikTok pourrait présenter des risques majeurs pour la sécurité ? Si oui, combien de signalements avez-vous reçus, à quelle période et quelle suite leur a été réservée ? Quelles sont les mesures qui ont été prises ? Dans la négative, pour quelle raison ?

2) Aux États-Unis, des dispositions sont en cours d'élaboration en vue d'interdire l'utilisation de l'application précitée à tous les fonctionnaires. Selon vous, est-il opportun ou non d'envisager des mesures similaires pour nos propres fonctionnaires ? Pouvez-vous expliciter votre réponse ?

3) Seriez-vous éventuellement favorable à une interdiction ou à une restriction de l'utilisation de cette application par les personnes qui travaillent dans des secteurs stratégiquement sensibles, comme le personnel des centrales nucléaires, les fonctionnaires, les personnes chargées du maintien de l'ordre, les militaires, le personnel ferroviaire, le personnel hospitalier, les gestionnaires des réseaux d'électricité et d'eau, etc. ? Pourquoi êtes-vous / n'êtes-vous pas favorable à une telle mesure ? Si vous y êtes favorable, comment encadreriez-vous une telle restriction ? Si pas, quelle en est la raison ?

4) Pouvez-vous préciser s'il existe déjà des directives à l'attention de nos fonctionnaires, responsables politiques, personnes en charge du maintien de l'ordre, etc. en ce qui concerne l'utilisation d'applications connues pour être potentiellement dangereuses ou pour représenter un risque accru en termes de failles de sécurité ? Existe-t-il une liste de telles applications ? Si oui, combien d'applications sont concernées ? Quelles autres mesures sont prises par nos fonctionnaires et autres pour éviter qu'ils soient victimes, à leur insu, de fuites de données par le biais d'applications dont la sécurité ne serait pas garantie ? Une distinction est-elle faite entre les téléphones privés et les téléphones professionnels ?

5) Combien de nos pouvoirs et services publics utilisent l'application précitée dans le cadre de leur communication officielle ? Pourriez-vous en établir la liste ? Quelles garanties les services concernés ont-ils que cela ne les expose pas à un espionnage mené par le Parti communiste chinois (PCC) ?

6) S'il devait s'avérer que TikTok a effectivement collecté de manière illicite des informations relatives à des Belges, comment pourriez-vous veiller à ce qu'elles soient supprimées par TikTok ? Quelle est notre capacité d'action à cet égard ?

7) Pourriez-vous, si possible, répertorier combien de fois la Belgique a déjà déposé plainte contre TikTok ou ByteDance pour des atteintes au respect de la vie privée ? Pourriez-vous ventiler ce chiffre par année, en précisant le résultat de la plainte ?

 

De in-app browser van TikTok heeft de mogelijkheid om bepaalde soorten gebruikersactiviteiten te monitoren op de externe websites die ermee worden bezocht, zo blijkt uit nieuw onderzoek (cf. https://www.cnet.com/tech/services-and-software/TikToks-in-app-browser-can-monitor-your-keystrokes-researcher-says/).

Volgens een recentelijk gepubliceerd onderzoek van Felix Krause, een in Wenen gevestigde softwareonderzoeker, kan TikTok, wanneer gebruikers van TikTok via een link in de TikTok-app een website bezoeken, code in de website invoegen waarmee TikTok activiteiten zoals toetsaanslagen en wat gebruikers op die site aantikken kan monitoren (cf. https://krausefx.com/blog/announcing-inappbrowsercom-see-what-javascript-commands-get-executed-in-an-in-app-browser).

Daardoor zou TikTok persoonlijke gebruikersinformatie zoals creditcardnummers en wachtwoorden kunnen buitmaken, hoewel het bedrijf beweert dat het dat niet doet. De app kan de code invoegen en de websites aanpassen om die controle mogelijk te maken omdat de sites worden geopend in TikTok's in-app browser, in plaats van in een standaard browser zoals Chrome of Safari.

In een verklaring zei TikTok, dat eigendom is van het Chinese internetbedrijf ByteDance, dat het rapport van de heer Krause «onjuist en misleidend» was en dat de functie werd gebruikt voor «debugging, probleemoplossing en prestatiebewaking» (cf. https://www.nytimes.com/2022/08/19/technology/TikTok-browser-tracking.html).

De Amerikaanse Senaat heeft intussen ook unaniem ingestemd met het weren van de populaire app TikTok van de werktelefoons van Amerikaanse overheidsfunctionarissen. Volgens de initiatiefnemer van het wetsvoorstel is de Chinese app «een Trojaans paard voor de Chinese Communistische Partij».

Er is veel vrees in de Verenigde Staten dat TikTok en moedermaatschappij ByteDance informatie van Amerikaanse gebruikers zouden kunnen delen met Chinese autoriteiten. De directeur van de Federal Bureau of Investigation (FBI) Christopher Wray waarschuwde eerder al dat Chinese bedrijven bij wet verplicht zijn om, als de Chinese overheid dat wil, informatie te delen.

De Amerikaanse regering heeft al geprobeerd een overeenkomst te sluiten met TikTok. Die moest voor extra veiligheidswaarborgen zorgen voor de opslag van gebruikersgegevens, melden insiders aan persbureau Bloomberg. Die overeenkomst is mislukt nadat het ministerie van Justitie deze had tegengehouden. Ook is het maar de vraag in hoeverre de overeenkomst de data van Amerikaanse gebruikers daadwerkelijk kan beschermen tegen misbruik (cf. https://www.ad.nl/tech/amerikaanse-senaat-unaniem-ambtenaren-mogen-geen-tiktok-meer-op-hun-telefoon-hebben~a72ffa42/).

Wat betreft het transversaal karakter van de schriftelijke vraag: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de Kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2022-2025, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft dus een transversale aangelegenheid met de Gewesten waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Graag had ik dan ook volgende vragen voorgelegd aan de geachte minister:

1) Zijn er reeds signalen binnengekomen van onze veiligheidsdiensten of IT (informatietechnologie)-specialisten die wijzen op mogelijke grote veiligheidsgevaren van de Chinese app TikTok? Zo ja, hoeveel, in welke periode en wat werd met deze oproep gedaan? Welke maatregelen werden genomen? Zo neen, waarom niet?

2) In de Verenigde Staten is men reeds volop bezig met de voorbereidingen voor het bannen van het gebruik van deze specifieke app voor alle overheidsfunctionarissen. Waarom wel of niet zijn soortgelijke acties voor onze overheidsfunctionarissen wenselijk?

3) Bent u eventueel te vinden voor een gebruiksverbod of -beperking van deze app voor personen die in strategisch gevoelige sectoren werken, zoals kerncentralepersoneel, ambtenaren, ordehandhavers, militairen, treinpersoneel, ziekenhuispersoneel, verantwoordelijken voor stroom- en waternetten, enz.? Waarom wel? Waarom niet? Indien wel, hoe zou u een dergelijke beperking omkaderen? Indien niet, zou u kunnen specifiëren waarom niet?

4) Kan u meedelen of er reeds richtlijnen bestaan voor onze overheidsfunctionarissen, politici, ordehandhavers en dergelijke omtrent het gebruik van apps waarvan geweten is dat ze potentieel gevaarlijk zijn, of een grotere kans hebben voor veiligheidslekken? Bestaat er een lijst van dergelijke apps? Indien ja, hoeveel staan er hierop? Welke andere maatregelen worden genomen door onze functionarissen en dergelijke om te voorkomen dat ze ongewild data lekken via potentieel onveilige apps? Wordt er een onderscheid gemaakt tussen privételefoons en werktelefoons?

5) Hoeveel van onze overheden en overheidsdiensten maken gebruik van deze app voor officiële communicatie? Zou u dit kunnen oplijsten? Welke garantie hebben dergelijke diensten dat ook zij mede hierdoor niet bespioneerd worden door de Communistische Partij van China (CPC)?

6) Indien later zou blijken dat TikTok daadwerkelijk ongeoorloofd informatie van Belgen zou hebben verzameld, op welke wijze kan u erop toezien dat TikTok deze verwijdert? In hoeverre heeft men de slagkracht hiertoe?

7) Zou u kunnen oplijsten, indien mogelijk, hoeveel keren België reeds klacht heeft ingediend tegenover Tiktok of ByteDance omtrent priacyovertredingen? Zou u dit per jaar kunnen uitsplitsen, tezamen met het resultaat dat voortvloeide uit deze klacht?

 
Réponse reçue le 29 mars 2023 : Antwoord ontvangen op 29 maart 2023 :

1) Après une analyse menée par le Service général du renseignement et de sécurité (SGRS), un avis négatif a été donné à propos de l’outil SOME TikTok. Il porte sur deux aspects, notamment la sécurité et la vie privée.

Récemment, la Défense a pleinement mis en œuvre les décisions du Conseil national de sécurité concernant TikTok dans une directive de défense. La Défense interdit l’utilisation de TikTok sur les appareils de service fixes et mobiles, et exige la suppression de toutes les applications TikTok existantes sur ces appareils d’ici le 31 mars 2023 au plus tard. En outre, la Défense déconseille d’installer l’application TikTok sur des appareils personnels ayant accès aux réseaux et systèmes internes du gouvernement fédéral, et de la supprimer si elle est déjà installée.

Les décisions du Conseil national de sécurité sont évidemment appliquées intégralement au sein de ma cellule stratégique.

Les unités qui souhaitent travailler avec TikTok à des fins de communication officielle doivent faire une demande clairement justifiée à la direction générale Communication stratégique (DG StratCom). Une condition stricte est que TikTok ne soit utilisé que sur un appareil dédié et où il n’y a absolument aucun compte de la Défense; ce qui permet, avec toutes les précautions d’usage, de pouvoir informer, ainsi que de développer une communication ou encore une stratégie d’influence moderne qui touche une grande catégorie de citoyens belges. On parle de 4,2 millions d’utilisateurs belges de l’application, dont certains ne l’utilisent d’ailleurs que comme seul moyen d’information.

2) L’absence d’authentification à deux facteurs constitue un risque important pour la sécurité. TikTok offre la possibilité de se connecter avec un code d’authentification envoyé sur votre téléphone, mais il s’agit d’un code d’accès à usage unique. Combiné à un mot de passe faible, cela peut facilement conduire à des attaques de «phishing» ou de «ransomware».

L’application TikTok utilise par ailleurs le «Hypertext Transfer Protocol» (HTTP) non sécurisé pour télécharger du contenu et pour transférer les vidéos et autres données multimédia. Si cette méthode améliore les performances de transfert des données, elle compromet la confidentialité des utilisateurs. Le trafic HTTP peut être facilement suivi et même modifié par des parties malveillantes.

En outre, la loi chinoise sur la cyber sécurité et les lois connexes permettent au gouvernement chinois, et donc aux forces armées et aux agences de renseignement chinoises, d’accéder aux données disponibles sur ou transmises par des serveurs situés en Chine. Ceci sans avoir besoin d’en informer les utilisateurs, ni en Chine, ni à l’étranger. Les données TikTok sur les serveurs chinois sont soumises à cette obligation légale.

3) L’application TikTok fait partie des applications qui seront désormais interdites sur les appareils de service fixes ou mobiles. Comme évoqué plus haut, l’état-major tolère son utilisation sur des appareils dédiés ne disposant pas d’applications ou stockage de données liés à la Défense.

4) Il est évident que dans un département comme la Défense, des directives sont distribuées au personnel concernant la sécurité, entre autres, des appareils mobiles qu’ils utilisent dans leur environnement professionnel. Sur base de l’analyse effectuée par le SGRS, il existe ainsi une liste d’applications interdites, déconseillées et recommandées sur les appareils mobiles de la Défense.

5) Le SGRS ne dispose pas de ces chiffres.

6) La Défense ne dispose pas de cette information. Les infractions à la «General Data Protection Regulation» (GDPR) sont traitées par l’autorité belge de protection des données (DPA).

Toutefois, je veux souligner le fait qu’au-delà de la question de la sécurité des données qui est évidemment importante, le véritable enjeu lié à TikTok reste le respect de la vie privée et de notre législation en matière de protection des données. En ce sens, il conviendrait de demander à TikTok l’application de la loi sur la protection des données afin de protéger les plus de 150 millions d’utilisateurs actifs mensuels en Europe. Cet enjeu de protection de nos données personnelles doit être défendu ainsi que l’application de la législation européenne en la matière, avec de vraies garanties en termes d’hébergement et d’intégrité des données.

1) Na analyse door de Algemene Dienst inlichting en veiligheid (ADIV), werd er over de SOME-tool TikTok een negatief advies gegeven. Het betreft twee aspecten, met name veiligheid en privacy.

Onlangs heeft Defensie de beslissingen van de Nationale Veiligheidsraad met betrekking tot TikTok volledig geïmplementeerd in een defensierichtlijn. Defensie verbiedt het gebruik van TikTok op vaste en mobiele diensttoestellen en eist de verwijdering van alle bestaande TikTok-applicaties op die toestellen tegen uiterlijk 31 maart 2023. Bovendien raadt Defensie af om de TikTok-app te installeren op persoonlijke apparaten met toegang tot de interne netwerken en systemen van de federale overheid, en die app te verwijderen als ze al werd geïnstalleerd.

De beslissingen van de Nationale Veiligheidsraad worden uiteraard integraal toegepast binnen mijn strategische cel.

Eenheden die voor officiële communicatiedoeleinden met TikTok willen werken, moeten een duidelijk gemotiveerde aanvraag indienen bij directie-generaal Strategische Communicatie (DG StratCom). Een strikte voorwaarde is dat TikTok alleen gebruikt wordt op een hiervoor bestemd toestel (dedicated device) en waarop absoluut geen account van Defensie in gebruik is; hetgeen toelaat, met alle gebruikelijke voorzorgsmaatregelen, om te informeren, en om een communicatie- of een moderne beïnvloedingsstrategie te ontwikkelen die een grote categorie Belgische burgers treft. We spreken hier over 4,2 miljoen Belgische gebruikers van de applicatie, waarvan een deel die als enige informatiemiddel gebruikt.

2) Het ontbreken van twee-factor authenticatie vormt een aanzienlijk veiligheidsrisico. TikTok biedt de optie om in te loggen met een verificatiecode die naar je telefoon wordt gestuurd, maar dit is een eenmalige toegangscode. In combinatie met een zwak wachtwoord kan dit gemakkelijk leiden tot «phishing»- of «ransomware»-aanvallen.

De TikTok-app gebruikt daarenboven het onveilige «Hypertext Transfer Protocol» (HTTP) om inhoud te downloaden en om video’s en andere mediagegevens over te dragen. Hoewel dit de prestaties van de gegevensoverdracht verbetert, brengt het de «privacy» van de gebruiker in gevaar. HTTP-verkeer kan gemakkelijk worden gevolgd en zelfs gewijzigd door kwaadwillenden.

Bovendien laten de Chinese Cybersecurity-wet en aanverwante wetten de Chinese regering, en dus de Chinese strijdkrachten en de inlichtingendiensten, toe om toegang te krijgen tot gegevens die beschikbaar zijn op of worden doorgegeven door servers die zich in China bevinden. Dit zonder dat de gebruikers, in China of in het buitenland, daarvan op de hoogte moeten worden gesteld. De TikTok-gegevens op Chinese servers zijn onderworpen aan deze wettelijke verplichting.

3) De TikTok-applicatie is een van de applicaties die nu worden verboden op vaste of mobiele diensttoestellen. Zoals hierboven vermeld, tolereert de Defensiestaf het gebruik ervan enkel op speciale apparaten waarop verder geen applicaties staan of gegevens worden opgeslagen die verband houden met Defensie.

4) Het spreekt voor zich dat in een departement als Defensie aan het personeel richtlijnen worden verspreid over onder meer de beveiliging van de mobiele toestellen die ze in hun professionele omgeving gebruiken. Op basis van de analyse door de ADIV is er dus een lijst met verboden, afgeraden en aanbevolen applicaties op mobiele toestellen van Defensie.

5) De ADIV beschikt niet over deze cijfers.

6) Defensie beschikt niet over die informatie. Inbreuken tegen de «General Data Protection Regulation» (GDPR) regelgeving worden door de Belgische «Data Protection Authority» (DPA) behandeld.

Ik wil echter benadrukken dat afgezien van de kwestie van dataveiligheid, die uiteraard belangrijk is, het echte probleem met TikTok het respect voor de privacy en onze wetgeving inzake gegevensbescherming blijft. In die zin zou TikTok moeten worden gevraagd om de wetgeving inzake gegevensbescherming toe te passen om de meer dan 150 miljoen maandelijks actieve gebruikers in Europa te beschermen. Deze kwestie van bescherming van onze persoonlijke gegevens moet worden verdedigd, net als de toepassing van de Europese wetgeving op dit gebied, met echte garanties op het gebied van hosting en data-integriteit.