Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 6-1639

de Martine Taelman (Open Vld) du 9 novembre 2017

au vice-premier ministre et ministre de la Coopération au développement, de l'Agenda numérique, des Télécommunications et de la Poste

Cybercriminalité - E-mail spoofing (usurpation d'adresse électronique) - Autorité - Services de sécurité - Prévention

pouvoirs publics
criminalité informatique
courrier électronique
site internet
administration publique
faux en écriture

Chronologie

9/11/2017Envoi question (Fin du délai de réponse: 14/12/2017)
8/12/2017Réponse

Aussi posée à : question écrite 6-1638
Aussi posée à : question écrite 6-1640

Question n° 6-1639 du 9 novembre 2017 : (Question posée en néerlandais)

La plateforme néerlandaise d'investigation Follow The Money a annoncé le 23 octobre 2017 que plusieurs sites des pouvoirs publics, dont www.tweedekamer.nl et celui de la Sûreté de l'État néerlandaise, n'étaient pas bien protégés et que les courriels qui étaient envoyés au départ de ces sites étaient faciles à falsifier. Après la publication de cette nouvelle, la Seconde Chambre des Pays-Bas a pris des mesures pour remédier aux plus importantes faiblesses en matière de sécurité mais il s'avère que de nombreuses autres adresses sont également utilisées de façon abusive: celles du Service général de renseignement et de sécurité (AIVD), celles de ministères et même celles d'entreprises du secteur de l'énergie.

Quoi qu'il en soit, le ministère de la Défense prend des mesures pour éviter que des personnes malintentionnées puissent fabriquer des adresses électroniques dont l'apparence laisse à penser qu'elle proviennent d'un ministère. Il existe plusieurs systèmes techniques permettant de lutter contre les mails trompeurs (e-mail spoofing). Le Centre national de cybersécurité (NCSC) des pouvoirs publics les a répertoriés il y a deux ans, mais toutes les autorités n'ont pas suivi les avis des experts.

Selon le NCSC, il n'est pas nécessaire de disposer de connaissances techniques approfondies pour escroquer quelqu'un de cette manière. Le danger est que le destinataire pense qu'il reçoit un e-mail d'une organisation fiable et qu'il aura dès lors tendance à cliquer sur des liens ou à partager des données.

Quant au caractère transversal de la question : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de Sécurité intégrale et dans le Plan national de sécurité pour la période 2016-2019 et ont fait l'objet d'un débat lors d'une Conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. La cybercriminalité est une des priorités transversales.

J'aimerais dès lors vous poser les questions suivantes :

1) Que pensez-vous de la menace que représente la possibilité d'envoyer des faux mails au départ de différents pouvoirs publics dont le site web n'est pas sécurisé ? Quelles actions ont-elles déjà été entreprises ou seront-elles entreprises à cet égard ?

2) Pouvez-vous me dire si, et le cas échéant combien de fois, des faux mails ont été envoyés par des autorités publiques via des sites mal sécurisés, au cours des trois dernières années ?

3) Le Centre pour la Cybersécurité Belgique récemment créé, ou d'autres autorités publiques disposent-elles d'un relevé des techniques permettant de lutter contre ces mails trompeurs (e-mail spoofing), et dans l'affirmative, où peut-on le retrouver ? Dans la négative, pourquoi, et n'est-il pas indiqué de le mettre rapidement à disposition ? Pouvez-vous expliquer votre réponse ?

4) Pouvez-vous me dire si tous les sites relevant de l'autorité fédérale, en particulier ceux des services de sécurité, ont mis sur pied au moins un système empêchant l'envoi de faux courriels au départ de ces autorités publiques ? Pouvez-vous préciser votre réponse ? Des faux courriels ont-ils déjà été envoyés au nom des services de police, de la Justice ou de la Sûreté de l'État ? Le cas échéant, pouvez-vous expliquer votre réponse ?

Réponse reçue le 8 décembre 2017 :

1) Au sein du service public fédéral Stratégie et Appui (SPF BOSA), nous veillons à assurer au mieux la sécurité des solutions que nous déployons, notamment les sites webs.

Nous avons fait réaliser des « audits » de la sécurité des sites webs que nous hébergeons. Nous veillons régulièrement à l’application des différents correctifs de sécurité ou autres fournis pour toutes les solutions que nous utilisons, notamment pour nos sites web. Ces correctifs peuvent concerner tant les systèmes opératoires (operating systems) que les solutions de développement, les réseaux, les bases de données, l’hébergement des sites web, etc.

2) Nous ne disposons pas de statistique à ce sujet et, à notre connaissance, le SPF BOSA n’a pas été victime de ce mécanisme d’usurpation d’identité au départ des sites web que nous contrôlons.

L’envoi de faux courriels simulant les SPF BOSA pourrait avoir été réalisé au départ d’autres plateformes, nous ne disposons dans ce contexte également d’aucune information qui indiqueraient que de telles actions aient été menées.

3) Une description des mesures générales de protection à été publiée par le Centre de cybersécurité Belgique (CCB) sous forme d’un guide pour les petites et moyennes entreprises (PME), ce guide peut également être utilisé par l’administration, il ne couvre cependant pas de manière spécifique la problématique évoquée.

L’envoi de faux courriels qui simulent l’administration peut se faire au départ de quasi tout ordinateur / tablette / smartphone connecté à internet sans même devoir passer par un site de l’administration. Des techniques existent pour faciliter la détection de courriels qui ne seraient pas issus réellement de l’administration. Elles consistent par exemple en la signature systématique des courriels de l’administration au moyen de certificats qui permettent de vérifier l’authenticité de l’émetteur du courriel, cette signature pouvant selon la technique utilisée pouvant même être validée automatiquement par les clients courrier électronique du récepteur. Ces techniques n’auraient toutefois aucun effet si une faille de sécurité d’un site web de l’administration a permis l’envoi de courriels.

Bien que cette information soit déjà grandement disponible sur le web, la publication d’information dédiée à ce sujet pourrait être intéressante, non seulement pour l’administration mais pour toutes organisations ou personnes qui ont la responsabilité d’un site web.

Idéalement, cette information émanant de l’administration devrait être centralisée par le CCB, cette responsabilité étant explicitement reprise dans ses missions.