Belgacom et les logiciels espions retrouvés dans sa filiale BICS
Proximus
criminalité informatique
protection des données
virus informatique
États-Unis
espionnage
espionnage industriel
12/11/2013 | Envoi question |
28/11/2013 | Réponse |
Requalification de : demande d'explications 5-4000
Il est apparu le 16 septembre que Belgacom a été victime d'une cyberattaque durant laquelle certaines communications ont été écoutées pendant au moins deux ans. Selon la presse, le logiciel malveillant a été découvert dans les systèmes de communication de BICS. Belgacom International Carrier Services est une filiale de Belgacom. Celle-ci possède 57 % des parts de BICS mais, selon d'autres sources, BICS a un réseau bien intégré avec Belgacom. Selon Belgacom, il n'y a eu aucun impact sur les routeurs ni sur les commutateurs réseau, alors que la presse a révélé que les assaillants contrôlaient totalement cette infrastructure critique du réseau. Cette hypothèse a aussi été confirmée par des slides publiés dans Der Spiegel qui provenaient d'Edward Snowden, le lanceur d'alerte de la NSA.
BICS est un leader mondial dans la maintenance des communications internationales entre les opérateurs internationaux de télécommunication. Les hackers voulaient en premier lieu suivre les activités de BICS entre autres au Yémen, en Somalie et en Iran. Selon Der Spiegel, cette opération a été menée en 2010 par une cellule de la NSA qui a aussi dirigé toute une série d'autres attaques et infiltrations importantes. Il est aussi apparu que l'intention était de pouvoir continuer à suivre les appels téléphoniques mobiles des personnes ciblées lorsque celles-ci voyageaient.
Les articles contradictoires, les fuites ainsi que la publication de différents slides dans Der Spiegel qui évoquent cette opération m'obligent quand même à poser quelques questions pertinentes sur ces révélations.
Mes questions au ministre sont les suivantes.
1. Peut-il confirmer que cette attaque a commencé en 2010, comme cela est indiqué dans les slides de la NSA ? Peut-il confirmer qu'il s'agit d'un cas de cyberespionnage ayant uniquement occasionné l'observation de certaines données et que le réseau n'a été ni piraté ni saboté ?
2. Peut-il confirmer que, tel que révélé dans la presse, les premières indications de problèmes sur le réseau de Belgacom sont apparues en 2012 et que le virus a seulement été identifié comme responsable le 20 juin 2013 ? Peut-il expliquer pourquoi un délai aussi long s'est écoulé entre les premiers problèmes et la découverte du virus ?
3. Peut-il préciser quand la direction a été informée d'éventuels problèmes en 2012 et de la découverte du virus en 2013 ? Quand le responsable de la sécurité et le responsable de la gestion des risques ont-ils été informés ? Quel accès le responsable de la sécurité et le responsable de la gestion des risques ont-ils au management, et quels changements organisationnels seront-ils mis en œuvre dans ce domaine ?
4. Le ministre peut-il expliquer comment on a sélectionné l'entreprise ou les entreprises qui doivent procéder à un « nettoyage » et à une analyse ?
5. L'impact sur le cours de bourse de Belgacom est heureusement resté limité. Belgacom a-t-elle fait une communication spécifique - secrète ou non - aux principaux actionnaires ? Comment les principaux actionnaires, partenaires et clients de Belgacom réagissent-ils, et quelles garanties Belgacom a-t-elle dû offrir ?
6. Quelle est la participation de l'autorité fédérale dans la société BICS, et qui représente l'autorité fédérale au sein de cette société ? Qui sont les autres actionnaires, et comment réagissent-ils à ces révélations ?
7. Le ministre peut-il expliquer comment Belgacom, qui a elle-même une entreprise de sécurité, qui est elle-même associée à de très nombreux produits de sécurité spécifiques de haut niveau et qui fait une très large publicité en matière de sécurité soit entièrement contrôlée de cette manière, à savoir que, selon la presse, les pirates ont pu utiliser quasi tous les mots de passe administratifs ?
8. Belgacom est aussi propriétaire de Telindus qui règle les communications téléphoniques pour le public et le privé tant à l'intérieur du pays qu'à l'étranger. A-t-on aussi recherché d'éventuels logiciels malveillants chez Telindus ? Le réseau de Telindus est-il aussi relié au réseau en question de BICS ?
9. Le ministre envisage-t-il d'imposer à Belgacom des conditions de sécurité plus sévères et un test de sécurité externe étant donné l'intérêt stratégique de l'entreprise ? L'IBPT ne doit-il pas étendre ces exigences sévères et ce test à toutes les grandes entreprises belges de télécommunication qui ont un impact critique ou des clients importants ?
10. Le ministre peut-il nous faire savoir où en est l'enquête menée par la Commission de la protection de la vie privée ? Peut-il expliquer pourquoi Belgacom déclare qu'il n'y a pas eu d'impact sur les données des clients quand la presse indique que les assaillants ont eu accès aux routeurs, commutateurs de réseau, serveurs et ordinateurs des gestionnaires du réseau ? Belgacom est-elle certaine qu'aucun Belge ne faisait partie des groupes cibles de cette opération ?
11. Quelle est l'opinion du ministre s'il est confirmé que l'opération a réellement eu lieu à partir d'une base d'espionnage située sur le territoire britannique, laquelle est en grande partie payée et équipée par les autorités américaines et cible en première instance le continent européen ? Notre gouvernement a-t-il demandé des explications aux gouvernements britannique et américain ? Quelles étapes le ministre envisage-t-il pour aborder ce grave incident au niveau supranational (UE, OTAN, ...) ?
12. Belgacom a déclaré que l'IBPT communiquerait avec les autres réseaux belges au sujet des détails techniques de l'attaque. Le jour suivant, la FCCU a déclaré qu'elle s'en chargerait. Où en est cette communication, et dans quelle mesure répond-elle aux besoins concrets des responsables de la sécurité des autres réseaux ?
13. Jusqu'il y a peu, le logiciel malveillant avait été détecté sur les ordinateurs Windows de Belgacom uniquement par un nombre limité de logiciels antivirus. Microsoft lui-même n'a publié aucune information sur ces logiciels malveillants et, selon certains, ces informations sont mêmes classées comme secret militaire. Le ministre peut-il garantir que les autres firmes de sécurité sont ou ont aussi été informées des caractéristiques de ces logiciels malveillants afin qu'elles puissent aussi les détecter automatiquement ?
14. Ce virus a-t-il déjà été détecté sur d'autres réseaux en Belgique ? S'agissait-il du même logiciel malveillant que celui qui a été détecté fin de l'année dernière sur le réseau des militaires belges ?
15. Où en est la création du centre pour la cybersécurité ? Quand les fonds nécessaires seront-ils dégagés ?
16. La plateforme de concertation BELNIS s'est-elle déjà réunie concernant ces diverses révélations ? BELNIS s'est-elle déjà réunie depuis les « cyberfuites » de la semaine du 16 septembre afin de discuter des stratégies à adopter ?
17. Votre département a-t-il insisté pour que l'on scanne les systèmes informatiques internes de l'ensemble des services publics en vue de détecter la présence de logiciels malveillants ? Cette opération a-t-elle été entamée depuis les récentes révélations ? Comment se déroule-t-elle, et qui la coordonne ?
18. Le ministre envisage-t-il d'organiser une réunion - éventuellement à huis clos – au cours de laquelle les parlementaires pourront obtenir des informations précises sur l'évolution de l'enquête et les conséquences des résultats ?
Permettez-moi, avant de répondre aux nombreuses questions, de réagir à certaines de vos affirmations.
Tout d'abord, il n’y a, à ce stade, aucune preuve formelle de l'écoute des conversations et il n'y a donc pas d'informations sur la durée de ces faits.
Deuxièmement, il est vrai que l'entreprise BICS est partiellement détenue par Belgacom et qu’elle utilise, pour ses besoins internes, des installations informatiques fournies par Belgacom. Cela ne change rien au fait que le réseau de télécommunications de BICS est en effet un réseau différent de celui de Belgacom et qu’il n'est pas intégré dans le réseau de Belgacom. Au moment de la notification de Belgacom, il n’existait aucune indication de piratage dans les routeurs de BICS. Grâce aux mesures de contrôle renforcées, ces instructions ont été découvertes plus tard, mais l’utilisation de l’accès non autorisé n’a pas pu être établi.
Enfin, je me permets de commenter les informations de Der Spiegel et de me référer à des enquêtes en cours pour retracer les auteurs et leurs motivations.
1) L’intrusion numérique est tellement sophistiquée que les traces trouvées ne permettent jusqu'ici pas de suivre l'origine de l'intrusion. Les chercheurs poursuivent leurs travaux. Belgacom n’est à ce stade pas en mesure de déterminer la date de début de l’intrusion numérique. Il se peut aussi qu’elle ne pourra jamais être déterminée.
Belgacom se réfère à la communication du Parquet fédéral : « L’enquête démontre que le piratage n'était possible que par l'utilisation de lourdes ressources financières et logistiques par les pirates. Ce fait, ainsi que la complexité et l'ampleur du piratage, incitent les chercheurs de diriger leur enquête vers une opération internationale d’espionnage d'État. »
Le dernier fait exposé en date, notamment les changements effectués dans le logiciel d'un routeur du réseau international de BICS, renforce le soupçon d'une opération internationale d’espionnage d'État. Le contenu de cette opération devra être déterminée par l'enquête judiciaire en cours.
2) Cela doit être vu dans son contexte. Des problèmes de stabilité sont détectés quasi quotidiennement dans le système informatique interne de Belgacom, ce qui est normal pour un système de cette taille et d’une telle complexité. Un exemple de tels cas sont des problèmes de stabilité qui ont été identifiés depuis fin mai 2012. Ces problèmes sont rares et inexplicables. Les équipes Belgacom ont travaillé avec HP et Microsoft pour identifier la cause de ces problèmes.
Ce n'est que le 20 juin 2013 que les experts de Belgacom ont pu détecter un procès suspect qui a été soumis à Microsoft pour analyse. Ce dernier a ensuite informé Belgacom qu'il supposait que le processus était suspect et qu’il s’agissait possiblement de malware (Cheval de Troie). Sur cette base, les experts de sécurité de Belgacom ont lancé une alerte de sécurité le 21 juin.
3) Belgacom a reçu la confirmation de la présence d'un virus de type Cheval de Troie le 20 juin 2013. Il n’était pas encore question d'une intrusion numérique de grande taille ou d’indications du type d'intrusion ni de la nature sophistiquée. Suite à cela, une alerte de sécurité a été lancée par les experts de sécurité de Belgacom le 21 juin.
Le comité de direction de Belgacom a été informé le 16 juillet 2013 des résultats des premières analyses effectuées par des experts externes et a décidé de déposer une plainte. Belgacom a déposé une plainte auprès du procureur fédéral le 19 juillet 2013.
En ce qui concerne l'organisation : Belgacom dispose d'une équipe de CSIRT (CyberSecurity Incident Response Team) qui intervient dans des incidents en matière de cybersécurité. Belgacom dispose d'un directeur responsable de la protection de l'information qui dépend du Secrétaire général de l'entreprise. Belgacom a également nommé un comité consultatif chargé de la protection de l'information. Ce comité est composé de membres du senior management qui représentent les activités les plus vulnérables de la société.
En ce qui concerne le calendrier : l'équipe CSIRT a lancé l’alerte de sécurité le 21 juin (voir la réponse à la question 2) et donc informé le directeur de la protection de l'information et le comité consultatif pour la protection de l’information.
4) Les experts externes ont été choisis par Belgacom sur la base de leur expertise reconnue à l'échelle internationale et de leur disponibilité à intervenir immédiatement.
5) Belgacom ne peut, en tant que société cotée, pas fournir d'informations spécifiques à l'un de ses actionnaires, de quelle importance qu’il soit, pas même à l'actionnaire majoritaire.
En ce qui concerne les actionnaires, vous avez-vous-même dit que le cours de la bourse n'en avait pas souffert. En ce qui concerne les clients, il s’agit d’une information confidentielle, mais il va sans dire que Belgacom fait tout ce qui est en son pouvoir pour répondre à leurs questions et aussi pour garantir la qualité du service à tous ses clients, tant résidentiels que professionnels.
6) BICS est une société partiellement détenue par Belgacom, dont les actionnaires sont Swisscom et MTN, dans lesquelles les autorités belges ne sont pas représentées.
7) L’intrusion numérique dont a été victime Belgacom a été identifiée par les experts de Fox-IT et des services d’intelligence de l'armée comme le type le plus sophistiqué, aussi appelé le « Advanced Persistent Threat Category », et nécessité d'importantes ressources pour son développement et son exécution. Cela a été confirmé par le bureau du Parquet fédéral dans sa communication du 16 septembre sur la base des éléments du dossier.
Les experts vous diront qu’aucune entreprise commerciale individuelle ne peut se protéger raisonnablement à 100 % d'un tel niveau de menace. Pour répondre à une telle menace à l'avenir, tous les acteurs publics et privés devront renforcer et coordonner leurs actions de cyber défense, tant au niveau local et européen. Belgacom y contribuera en partageant sa connaissance dans les plateformes des secteurs concernés et avec les partenaires privés/publics et fera tout en son pouvoir pour poursuivre et renforcer sa protection.
8) En Belgique, Telindus n’est plus une entité séparée et elle a donc logiquement été inclus dans l'analyse et le plan de redressement, ainsi que toutes les autres divisions de Belgacom. En ce qui concerne les entités de Telindus à l'étranger, aucune infection de leurs systèmes n’a été détectée à ce jour.
9) Comme entreprise publique autonome, il revient à Belgacom de définir au mieux sa politique de protection et l'entreprise prend cette tâche très au sérieux. Et comme indiqué dans la réponse 7, la sécurité de son réseau et de ses clients est primordiale pour Belgacom. La société mène une politique de sécurité permanente et s'efforce à améliorer en permanence la sécurité de son réseau et de ses clients en appliquant les meilleures pratiques dans le secteur et de coopérer activement avec les plus grands opérateurs européens.
10) La Commission de la Protection de la Vie privée suit le cas de près.
Belgacom n’a jamais exclu l’impact sur l'environnement des télécommunications, mais a affirmé qu'il n'y avait aucune preuve à ce jour. La constatation récente dans le routeur est un élément nouveau qui doit être étudié plus en profondeur. Celui qui pirate un routeur télécom, le fait probablement pour avoir accès à certaines données. Mais nous ne savons pas si cela s’est passé et dans quelle mesure.
L'enquête judiciaire est toujours en cours et nous devons laisser les enquêteurs faire leur travail. Belgacom m’annonce avoir mené toujours une communication transparente et efficace sur la base des éléments qu'elle avait en sa possession.
11) Étant donné que l'enquête judiciaire semble confirmer la mesure et l'origine spécifique de cette opération d'espionnage, il s’agirait de faits extrêmement graves pour lesquels le gouvernement belge demandera des comptes aux responsables, quand ils seront identifiés.
12) Vos autres questions ne relèvent pas de ma compétence.