Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 7-1871

de Rik Daems (Open Vld) du 26 janvier 2023

à la ministre de l'Intérieur, des Réformes institutionnelles et du Renouveau démocratique

Espionnage - Logiciel Pegasus - Risques pour la sécurité - Piratage - Respect de la vie privée - Chiffres et tendances

protection des communications
espionnage
piratage informatique
Israël
télécommunication sans fil
logiciel

Chronologie

26/1/2023Envoi question (Fin du délai de réponse: 2/3/2023)
2/3/2023Réponse

Aussi posée à : question écrite 7-1870
Aussi posée à : question écrite 7-1872

Question n° 7-1871 du 26 janvier 2023 : (Question posée en néerlandais)

Le logiciel espion israélien controversé Pegasus est aux mains d'un plus grand nombre d'États membres européens qu'on ne le pensait initialement. La société mère, NSO Group, a confirmé que quatorze pays européens, et non pas cinq, avaient acheté et utilisé le logiciel. On ignore de quels États membres il s'agit précisément, mais on sait en revanche que deux d'entre eux ont entre-temps résilié leur contrat avec la société.

Le logiciel est controversé depuis juillet 2021, lorsqu'il est apparu qu'il avait été utilisé de manière abusive par plusieurs autorités publiques, entre autres en Hongrie. Des opposants politiques, des journalistes, des activistes et des avocats ont été espionnés à l'aide de ce logiciel (cf. https://www.europa nu.nl/id/vlv5ml83wys2/nieuws/niet_vijf_maar_veertien_eu_landen_hebben?ctx=vh6ukzb3nnt0).

Pegasus est essentiellement vendu à des pays et à des services publics, qui l'utilisent pour s'introduire à distance dans des GSM et y exploiter toutes les informations disponibles possibles, des mots de passe aux données de localisation en passant par les contacts. Le logiciel permet également d'activer secrètement le micro et la caméra et de réaliser en catimini des captures d'écran.

Selon l'éditeur NSO Group, le logiciel Pegasus a en principe été conçu pour traquer des «organisations terroristes, cartels de la drogue, trafics d'êtres humains, cercles pédophiles et autres syndicats criminels».

Une enquête menée par un consortium de plus de 80 journalistes, à laquelle ont participé «Knack» et «Le Soir» dans notre pays, a révélé que Pegasus était également utilisé de manière abusive par les clients de NSO. L'information provient de la fuite d'une liste de plus de 50 000 numéros de téléphone désignés comme des cibles potentielles de Pegasus. Plus de 1 000 numéros de téléphone de 50 pays ont été identifiés par les journalistes comme appartenant à des universitaires, des avocats, des médecins, des dirigeants syndicaux, des diplomates, plus de 180 journalistes, au moins 85 militants des droits de l'homme et plus de 600 responsables politiques et fonctionnaires gouvernementaux, dont au moins 10 chefs d'État et de gouvernement. La liste qui a fuité compte également une douzaine de numéros de GSM belges.

Le Comité R, qui contrôle les services de renseignement dans notre pays, investigue pour savoir si la Sûreté de l'État belge et notre service de renseignement militaire ont également eu recours à l'outil d'espionnage Pegasus. Selon le ministre de la Justice Vincent Van Quickenborne, la Sûreté de l'État serait dans la légalité si elle utilisait Pegasus (cf. https://www.vrt.be/vrtnws/nl/2021/09/17/wat doet die spionagesoftware pegasus precies en wie vormt er e/).

En ce qui concerne le caractère transversal de la présente question écrite : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui devront être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité 2022-2025 et ont fait l'objet d'un débat lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Il s'agit d'une matière transversale qui relève également des Régions, le rôle de ces dernières se situant surtout dans le domaine de la prévention.

Je voudrais dès lors vous poser les questions suivantes :

1) Pouvez-vous confirmer si les pouvoirs publics, les services d'ordre, les services de renseignement ou d'autres services ont eu recours au logiciel espion Pegasus ? Dans l'affirmative, sur quelle période s'est étendue l'utilisation de ce logiciel, quel but poursuivait-elle et a-t-elle encore lieu ? Quels services ont eu spécifiquement accès à ce logiciel ? Celui-ci a-t-il été utilisé pour surveiller secrètement des citoyens de notre pays ?

2) Nos services de sécurité ont-ils encore eu connaissance ces six derniers mois d'éléments indiquant que ce logiciel aurait été utilisé pour espionner illégalement des citoyens belges ? Avez-vous une idée de qui se cache derrière ces intrusions ?

3) Pouvez-vous dire si l'usage de tels logiciels espions pour smartphones a augmenté ou a diminué depuis la guerre en Ukraine ? Si oui, qui est le plus souvent ciblé et qui est le plus souvent à l'origine de ces intrusions ?

4) De quelles manières les services de sécurité et autres garantissent-ils que les smartphones des collaborateurs et dirigeants susceptibles de traiter des données sensibles sont préservés de toute intrusion par des tiers ? Des mesures de sécurité supplémentaires ont-elles entre-temps été mises en œuvre ou sont-elles en cours d'élaboration ? Dans l'affirmative, pouvez-vous préciser la nature de ces mesures et le délai dans lequel vous espérez qu'elles seront mises en place ? Dans le cas contraire, comment continuez-vous à assurer la sécurité ?

5) Pouvez-vous communiquer le nombre de personnes travaillant pour les pouvoirs publics ou les services d'ordre ou de sécurité dont on a constaté, au cours de l'année écoulée, que leur smartphone avait été infecté par le logiciel Pegasus ou un logiciel espion similaire ? Quels étaient les services concernés ? S'agissait-il de téléphones privés ou professionnels ? Les personnes concernées se sont-elles rendues à l'étranger ? A-t-on pu identifier qui était à l'origine du piratage ? Quelles ont été les suites réservées à la fuite de données précitée ?

Réponse reçue le 2 mars 2023 :

1) Je vous renvoie vers mon honorable collègue, ministre de la Justice, qui a déjà eu l’occasion de s’exprimer sur le sujet à la Chambre des représentants le 22 septembre 2021, ainsi que la réponse que j’ai pu apporter à l’honorable membre Depoortere à sa question no 27060, dépôt – 55027060C (du 22 avril 2022).

Afin de garantir l’efficacité et la pérennité des capacités utilisées dans le cadre de la prise de connaissance des communications privées, conformément au prescrit légal de l’article 90ter du Code d’instruction criminelle, aucun détail sur les outils et les méthodes utilisés ne peut être communiqué publiquement.

De fait, il est important d’être attentif qu’une ouverture ou publicité trop grande sur les capacités des services à répondre aux ordres des autorités judiciaires pour ce qui concerne la police fédérale, n’ait pour conséquence que les organisations criminelles et terroristes adaptent leurs comportements et ne développent des «contre-stratégies» qui auraient pour conséquence directe une augmentation du niveau de la menace dans notre pays.

C’est la raison pour laquelle l’acquisition de telles capacités, qui peuvent également être utilisées par nos services de renseignement, est toujours classifiés avec un niveau de classification «Secret».

De manière générale toutefois, en matière judiciaire, la prise de connaissance de communications privées n’est possible que moyennant le respect strict du cadre légal prévu dans le code d’instruction criminelle.

À savoir:

l’utilisation de méthodes intrusives d’interception ne peut se faire que sur ordre de l’autorité judiciaires (le juge d’instruction);

cet ordre ne peut être donné qu’après contrôle de la proportionnalité de la mesure, c’est-à-dire, pour les crimes et les délits les plus graves (par exemple, le terrorisme et dès lors pas pour n’importe quelle infraction). La loi n’autorise ces mesures «que dans les cas exceptionnels» (article 90ter, § 2);

après contrôle que la mesure d’interception est subsidiaire (c’est-à-dire, après avoir évalué que l’obtention de la preuve ne pouvait se faire d’une autre manière, en utilisant une méthode moins intrusive en terme d’atteinte à la vie privée).

2) Pour ce qui concerne les services de renseignement, cette question doit être traitée par mon honorable collègue de la Justice et celui de la Défense à qui vous avez également adressé votre question.

En ce qui concerne les services de police, je n’ai reçu aucune information indiquant que ce software était utilisé pour espionner illégalement des citoyens belges.

Toute indication d’une utilisation illégale de ce software doit, comme le Code d’instruction criminel le prévoit, faire l’objet de la rédaction d’un procès-verbal adressé aux autorités judiciaires compétentes.

3) Je ne dispose d’aucune information à ce sujet.

4) Les services de sécurité sont responsables de la mise en place de policy de sécurité pour garantir la confidentialité de leurs données et de leurs communications. Au niveau belge, ceux-ci sont aidés par le Centre de cybersécurité mis en place par le gouvernement. Ce centre, appelé CCB (Centre belge pour la cybersécurité), dépend de la Chancellerie du premier ministre. Il met à disposition un ensemble de services de cybersécurité à utiliser, sans coût, pour les services publics fédéraux.

Notamment, il établit les «Baseline Security Guidelines» (BSG – lignes directrices en matière de sécurité) lesquelles fournissent des lignes directrices minimales pour la mise en œuvre ou l’évaluation d’un plan de sécurisation de l’information et fournissent également une assistance aux responsables du traitement mais aussi aux conseillers en sécurité, aux contrôleurs de données et aux responsables informatiques.

Ces BSG sont élaborées en concertation avec des experts de divers services publics fédéraux (SPF) et des consultants externes, et tiennent compte des normes existantes comme ISO 27001 et ISO 27002. Il convient aux divers services d’appliquer dans leur fonctionnement les règles qui garantissent cette sécurité en tenant compte de leur fonctionnement, de leur mission et de leur organisation.

Le Centre de crise national (NCCN) utilise un logiciel qui contrôle et gère chaque appareil (GSM, tablette et ordinateur portable). Ce logiciel MDM (mobile device management) empêche toute installation externe sur la partie professionnelle du smartdevice.

5) Je ne dispose d’informations que des membres des autorités publiques ou des membres des services de sécurités ont constaté que leurs téléphones étaient infectés par le logiciel Pegasus.

Pour le surplus, je me réfère aux réponses aux questions écrites nos 7-1870 et 7-1872 adressées au ministre de la Défense et au secrétaire d’État à la Digitalisation, chargé de la Simplification administrative, de la Protection de la vie privée, de la Régie des bâtiments.