Belgacom et les logiciels espions retrouvés chez sa filiale BICS
Proximus
criminalité informatique
protection des communications
espionnage
virus informatique
Autorité de protection des données
4/2/2014 | Envoi question |
28/4/2014 | Fin de la législature |
Requalification de : demande d'explications 5-4007
Il est apparu le 16 septembre que Belgacom a été victime d'une cyberattaque durant laquelle certaines communications ont été écoutées pendant au moins deux ans. Selon la presse, le logiciel malveillant a été découvert dans les systèmes de communication de Belgacom International Carrier Services (BICS). Belgacom International Carrier Services est une filiale de Belgacom dans laquelle elle a une part de 57 % mais qui possède, selon d'autres sources, un réseau bien intégré avec Belgacom. Selon Belgacom, il n'y a eu aucun impact sur les routeurs ni sur les commutateurs réseau, alors que la presse a révélé que les assaillants contrôlaient totalement cette infrastructure critique du réseau. Cette hypothèse a aussi été confirmée par des slides publiés dans Der Spiegel qui provenaient d'Edward Snowden, le lanceur d'alerte de la NSA.
BICS est un leader mondial dans la maintenance des communications internationales entre les opérateurs internationaux de télécommunication. Les hackers voulaient en premier lieu suivre les activités de BICS entre autres au Yémen, en Somalie et en Iran. Selon Der Spiegel, cette opération a été menée en 2010 par une cellule de la NSA qui a aussi dirigé toute une série d'autres attaques et infiltrations importantes. Il est aussi apparu que l'intention était de pouvoir continuer à suivre les appels téléphoniques mobiles des personnes ciblées lorsque celles-ci voyageaient.
Les articles contradictoires, les fuites ainsi que la publication de différents slides dans Der Spiegel qui évoquent cette opération m'obligent quand même à poser quelques questions pertinentes sur ces révélations.
Mes questions au secrétaire d'État sont les suivantes.
1) Le secrétaire d'État peut-il confirmer que cette attaque a commencé en 2010, comme cela est indiqué dans les slides de la NSA ? Peut-il confirmer qu'il s'agit d'un cas de cyberespionnage ayant uniquement occasionné l'observation de certaines données et que le réseau n'a été ni piraté ni saboté ?
2) Le secrétaire d'État peut-il confirmer que, tel que révélé dans la presse, les premières indications de problèmes sur le réseau de Belgacom sont apparues en 2012 et que le virus a seulement été identifié comme responsable le 20 juin 2013 ? Peut-il expliquer pourquoi un délai aussi long s'est écoulé entre les premiers problèmes et la découverte du virus ?
3) Le secrétaire d'État peut-il préciser quand la direction a été informée d'éventuels problèmes en 2012 et de la découverte du virus en 2013 ? Quand le responsable de la sécurité et le responsable de la gestion des risques ont-ils été informés ? Quel accès le responsable de la sécurité et le responsable de la gestion des risques ont-ils au management, et quels changements organisationnels seront-ils mis en œuvre dans ce domaine ?
4) Le secrétaire d'État peut-il expliquer comment on a sélectionné l'entreprise ou les entreprises qui doivent procéder à un « nettoyage » et à une analyse ?
5) L'impact sur le cours de bourse de Belgacom est heureusement resté limité. Belgacom a-t-elle fait une communication spécifique - secrète ou non - aux principaux actionnaires ? Comment les principaux actionnaires, partenaires et clients de Belgacom ont-ils réagi, et quelles garanties Belgacom a-t-elle dû offrir ?
6) Quelle est la participation de l'autorité fédérale dans la société BICS, et qui représente l'autorité fédérale au sein de cette société ? Qui sont les autres actionnaires, et comment réagissent-ils à ces révélations ?
7) Le secrétaire d'État peut-il expliquer comment Belgacom, qui a elle-même une entreprise de sécurité, qui est elle-même associée à de très nombreux produits de sécurité spécifiques de haut niveau et qui fait une très large publicité en matière de sécurité a été entièrement contrôlée de cette manière, à savoir que, selon la presse, les pirates ont pu utiliser quasi tous les mots de passe administratifs ?
8) Belgacom est aussi propriétaire de Telindus qui règle les communications téléphoniques pour le public et le privé tant à l'intérieur du pays qu'à l'étranger. A-t-on aussi recherché d'éventuels logiciels malveillants chez Telindus ? Le réseau de Telindus est-il aussi relié au réseau en question de BICS ?
9) Le secrétaire d'État envisage-t-il d'imposer à Belgacom des conditions de sécurité plus sévères et un test de sécurité externe étant donné l'intérêt stratégique de l'entreprise ? L'IBPT ne doit-il pas étendre ces mesures à toutes les entreprises belges de télécommunications qui ont un impact critique ou des clients importants ?
10) Le secrétaire d'État peut-il nous faire savoir où en est l'enquête menée par la Commission de la protection de la vie privée ? Peut-il expliquer pourquoi Belgacom déclare qu'il n'y a pas eu d'impact sur les données des clients quand la presse indique que les assaillants ont eu accès aux routeurs, commutateurs de réseau et ordinateurs des gestionnaires du réseau ? Belgacom est-elle certaine qu'aucun Belge ne faisait partie des groupes cibles de cette opération ?
11) Quelle est l'opinion du secrétaire d'État s'il est confirmé que l'opération a réellement eu lieu à partir d'une base d'espionnage située sur le territoire britannique, laquelle est en grande partie payée et équipée par les autorités américaines et cible en première instance le continent européen ? Le gouvernement a-t-il demandé des explications aux gouvernements britannique et américain ? Quelles démarches faut-il entreprendre, selon le secrétaire d'État, au niveau supranational (UE, OTAN, ...) pour aborder ce grave incident ?
12) Belgacom a déclaré que l'IBPT communiquerait les détails techniques de cette attaque aux autres réseaux belges. Le jour suivant, la FCCU a déclaré qu'elle s'en chargerait. Où en est cette communication, et dans quelle mesure répond-elle aux besoins concrets des responsables de la sécurité de ces réseaux ?
13) Jusqu'il y a peu, le logiciel malveillant avait été détecté sur les ordinateurs Windows de Belgacom uniquement par un nombre limité de logiciels antivirus. Microsoft lui-même n'a publié aucune information sur ces logiciels malveillants et, selon certains, ces informations sont mêmes classées comme secret militaire. Le secrétaire d'État peut-il garantir que les autres firmes de sécurité sont ou ont aussi été informées des caractéristiques de ces logiciels malveillants afin qu'elles puissent aussi les détecter automatiquement ?
14) Ce virus a-t-il déjà été détecté sur d'autres réseaux en Belgique ? S'agissait-il du même logiciel malveillant que celui qui a été détecté fin de l'année dernière sur le réseau des militaires belges ?
15) Où en est la création du centre pour la cybersécurité ? Quand les fonds nécessaires seront-ils dégagés ?
16) La plateforme de concertation BELNIS s'est-elle déjà réunie concernant ces diverses révélations ? BELNIS s'est-elle déjà réunie depuis les « cyberfuites » de la semaine du 16 septembre afin de discuter des stratégies à adopter ?
17) Le département du secrétaire d'État a-t-il insisté pour que l'on scanne les systèmes informatiques internes de l'ensemble des services publics en vue de détecter la présence de logiciels malveillants ? Cela a-t-il déjà été fait depuis les récentes révélations ? Comment cette opération se déroule-t-elle, et qui la coordonne ?
18) Le secrétaire d'État envisage-t-il d'organiser une réunion - éventuellement à huis clos - pour le parlement afin de nous informer correctement sur l'enquête et les conséquences des résultats ?