SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2012-2013 Zitting 2012-2013
________________
23 mai 2013 23 mei 2013
________________
Question écrite n° 5-9093 Schriftelijke vraag nr. 5-9093

de Martine Taelman (Open Vld)
van Martine Taelman (Open Vld)

à la ministre de la Justice
aan de minister van Justitie
________________
Police - Hacking offensif - Loi néerlandaise « hack back » ­ Législation Politie - Offensief hacken - Nederlandse terughackwet - Wetgeving 
________________
lutte contre le crime
protection des communications
police
criminalité informatique
misdaadbestrijding
telefoon- en briefgeheim
politie
computercriminaliteit
________ ________
23/5/2013Verzending vraag
17/9/2013Rappel
12/12/2013Antwoord
23/5/2013Verzending vraag
17/9/2013Rappel
12/12/2013Antwoord
________ ________
Ook gesteld aan : schriftelijke vraag 5-9092 Ook gesteld aan : schriftelijke vraag 5-9092
________ ________
Question n° 5-9093 du 23 mai 2013 : (Question posée en néerlandais) Vraag nr. 5-9093 d.d. 23 mei 2013 : (Vraag gesteld in het Nederlands)

Le ministre néerlandais de la Sûreté et de la Justice veut instaurer une loi permettant à la police de pirater les systèmes informatiques des criminels. Il s'agit de la loi dite « hack back ». En cas de nécessité, la police doit aussi pouvoir s'emparer de données ou les rendre inaccessibles. C'est ce qui ressort d'un projet de loi que le ministre a soumis pour avis à différentes instances. L'Europe songerait à suivre l'exemple néerlandais dans le domaine du hacking offensif.

Je souhaiterais poser à la ministre les questions suivantes :

1) Comment la ministre réagit-elle par rapport au projet de son homologue néerlandais visant à autoriser la police à se livrer au piratage offensif ? Cela aurait-il aussi une utilité chez nous ? Les services d'ordre ou d'autres services l'ont-ils interrogée à ce sujet ? Peut-elle expliciter sa réponse ?

2) La législation actuelle permet-elle déjà aux services d'ordre de pirater des ordinateurs ? Dans l'affirmative, peut-elle expliciter sa réponse ? Combien de fois cela s'est-il déjà produit ? Quels en ont été les résultats ?

3) Le gouvernement a-t-il des projets qui vont dans le même sens ? Dans l'affirmative, la ministre peut-elle en préciser le calendrier et la teneur ?

4) La ministre ne craint-elle pas que cette situation donne lieu à une « guerre digitale » ? Peut-elle expliciter sa réponse ?

5) Est-il exact que l'Europe envisage de permettre aux gouvernements de se livrer au piratage informatique ?

 

De Nederlandse minister van Veiligheid en Justitie wil bij wet de mogelijkheid invoeren dat de politie kan inbreken op systemen van criminelen. Het betreft de zogenaamde terughackwet. Indien nodig moet de politie ook gegevens kunnen overnemen of ontoegankelijk maken. Dat blijkt uit een wetsontwerp dat hij voor advies naar verschillende instanties heeft gestuurd. In navolging van de Nederlandse plannen zou ook op Europees niveau worden gedacht aan offensief hacken.

Ik had graag volgende vragen voorgelegd aan de minister:

1) Hoe reageert de minister op het voornemen van haar Nederlandse evenknie om de politie toe te staan offensief te hacken? Is daar bij ons eveneens behoefte aan? Heeft zij vragen hiervoor ontvangen van de ordediensten of andere diensten? Kan dit uitvoerig worden toegelicht?

2) Kunnen de ordediensten onder de bestaande wetgeving al computers hacken? Zo ja, kan ze dit toelichten? Hoeveel maal gebeurde dat al? Wat waren de resultaten?

3) Heeft de regering plannen in die richting? Zo ja, kan de minister de planning en de inhoud ervan toelichten?

4) Vreest de minister niet dat dit kan leiden tot een zogenaamde digitale oorlogvoering? Kan ze dat toelichten?

5) Klopt de berichtgeving dat Europa erover denkt aan de overheden hackbevoegdheden toe te kennen?

 
Réponse reçue le 12 décembre 2013 : Antwoord ontvangen op 12 december 2013 :

1. Il a été décidé dans l'accord de gouvernement néerlandais de lutter contre les menaces et la vulnérabilité croissantes dans le domaine de la cybersécurité en adaptant les instruments juridiques suite aux développements des technologies de l'information et de la communication (Bruggen slaan, Regeerakkoord VVD – PvdA, 29/10/2012, p. 28). Dans ce cadre, il a été proposé d'élargir les compétences au niveau de l'action publique dans le cadre de certaines dispositions pénales. Une proposition de loi modifiant le Code pénal et le Code d'instruction criminelle concernant l'amélioration et le renforcement de la recherche et des poursuites de la criminalité informatique ("computercriminaliteit III") a été déposée au parlement néerlandais.  

La proposition de loi néerlandaise prévoit l'introduction d'une nouvelle compétence pour certains fonctionnaires de recherche, à savoir la consultation secrète à distance d’un système informatique (on entend par là : un dispositif destiné au traitement des données par voie électronique et à leur enregistrement ou leur transfert) utilisé par un suspect en vue de rechercher des faits punissables graves. Dans ce contexte, la sécurité peut-être brisée ou des actions techniques peuvent être entreprises afin d'obtenir un accès au processus automatisé. Un logiciel discret peut également être installé qui brise la sécurité sur des points précis ou la contourne et supprime le cryptage des données. Dans certaines circonstances, cette compétence pourrait également s’appliquer à un ordinateur qui ne se trouve pas sur le sol néerlandais, mais pour lequel les conséquences se produiraient aux Pays-Bas. 

L'accord de gouvernement belge du 1er décembre 2011 indique à ce sujet que "plus largement, le terrorisme et la cybercriminalité constituent aujourd'hui de nouvelles menaces non militaires pour notre sécurité. La Belgique s'engagera avec vigueur dans les coopérations internationales visant à combattre celles-ci". L'informatisation rapide et intense de la vie privée et professionnelle et le recours de plus en plus fréquent des criminels aux nouvelles possibilités plus larges des technologies de l'information ("IT") m'amènent à penser que les propositions néerlandaises sont intéressantes. 

La police et la justice belges demandent également des compétences leur permettant de s'introduire dans les communications et les systèmes d’information des criminels. Les services de police indiquent que les cybercriminels utilisent de plus en plus des systèmes sécurisés protégés par un cryptage et des systèmes de sécurisation pour leurs communications afin de fournir des services criminels et de stocker du contenu illégal (comme la pédopornographie). 

Les méthodes traditionnelles de collecte de preuves en deviennent inefficaces. Les écoutes téléphoniques et les interceptions Internet permettent de moins en moins d'accéder au contenu effectif de communication. De plus, les opérateurs télécom ne peuvent souvent plus collaborer pour donner accès au contenu des communications, car le cryptage se fait end-to-end. Cela signifie que les données sont cryptées et décryptées sur l'appareil final de l'utilisateur. Le programme Skype, qui est souvent utilisé, en est un bon exemple. 

Cependant, il convient d'être prudent avec ces évolutions et différents problèmes se posent en la matière. Cette nouvelle compétence relative à la criminalité informatique implique en effet une limitation de la vie privée des suspects et des non-suspects à qui l'accès à l'ordinateur est donné. Dans une perspective internationale et européenne des droits de l'homme et dans une société démocratique, cette compétence doit être proportionnelle à l'objectif visé. 

La Cyber Security Strategy approuvée par le gouvernement le 23 novembre 2012, mentionne l'ambition d'une protection optimale contre la cybermenace des systèmes publics et infrastructures critiques ; et que "partant de la législation existante, le cadre légal doit être créé pour trouver un équilibre entre les droits et les libertés du citoyen et les interventions indispensables des autorités".      

2. L'actuelle législation permet à la police et à la justice d'effectuer une recherche sur réseau (art 88ter CIC). Cette compétence permet par exemple au juge d'instruction d'ordonner aux inspecteurs de police de rechercher des systèmes d'information du suspect qui se trouvent dans un autre lieu que celui d'une perquisition. 

Tout comme l'interception des télécommunications, la recherche sur réseau est une méthode fréquemment utilisée pour récolter des éléments de preuve dans le cadre de phénomènes criminels importants. 

L'exposé des motifs de l'article sur la recherche sur réseau indique toutefois que cette disposition ne confère pas à la police la compétence d'accéder de manière illicite au réseau. 

Les compétences demandées ne correspondent cependant pas aux instruments qui existent déjà, mais doivent être adaptées pour pouvoir suivre l'évolution sociale et technologique. 

L'interception de télécommunications est réglée depuis la moitié des années nonante. 

La loi de 2010 relative aux méthodes particulières de recherche pour les services de renseignement prévoit explicitement la possibilité pour ces services de s'infiltrer dans des systèmes informatiques des suspects. 

Les systèmes d'information et de communication qui existaient au moment de l'élaboration de la loi relative à la criminalité informatique de 2000 ont toutefois été révolutionnés. 

De nos jours, le criminel n'a pas nécessairement besoin de systèmes informatiques propres, mais il peut aussi faire usage de services qui sont de plus en plus proposés dans le cadre de la technologie "Cloud". Il suffit de penser à des produits-type comme Dropbox, Google drive, Office 365, iCloud. Tous ces services sont utilisés par de simples utilisateurs finaux afin de stocker leurs données dans un système à distance. Ils peuvent atteindre la totalité de leur environnement de travail à partir de n'importe quel PC, tablette ou smartphone, qu'ils se trouvent dans une bibliothèque ou dans un hôtel. Le fait que tous ces environnements sont protégés par différents systèmes de sécurité fait qu'il est difficile ou impossible d'encore appliquer les compétences existantes. 

3. Un groupe de travail dirigé par le procureur fédéral et composé de représentants du Collège des procureurs généraux, des parquets, des juges d’instruction et de la police a récemment formulé des propositions. 

4. Il est clair que les cybercriminels élargissent toujours leur terrain de travail. Ils utilisent les techniques les plus variées pour pouvoir s'introduire dans les systèmes les plus vulnérables de notre société. Il suffit d'observer la collaboration des cybercriminels avec les trafiquants de drogue au port d'Anvers. Leurs données sont sauvegardées sur des serveurs sécurisés et des systèmes piratés. Si les compétences de la police et de la justice ne sont pas élargies, la lutte contre la criminalité deviendra impossible. Cela ne doit pas aboutir à une guerre numérique. Les nouvelles compétences doivent être accompagnées des garanties nécessaires au sein de notre démocratie. 

5. Le 30 septembre 2010, la Commission européenne a introduit une proposition de directive relative aux attaques visant les systèmes d'information. La Conseil de l’Union européenne a conclu un accord sur une approche générale le 10 juillet 2011. La commission Libertés civiles, justice et affaires intérieures a tenu un premier vote en première lecture le 6 juin 2013.     

Dans l’état actuel du texte, l'objectif est plutôt d'aboutir à une définition commune de certains faits punissables : accès illicite à un système d’information, atteinte à l’intégrité d’un système et l'atteinte à l’intégrité des données. Selon nos informations, il n'est pas encore question d'attribuer aux autorités une compétence d'accès illicite

1. In het Nederlandse regeerakkoord werd het voornemen opgenomen om de toenemende bedreigingen en kwetsbaarheden op het terrein van cybersecurity het hoofd te bieden door het juridisch instrumentarium aan te passen naar aanleiding van de ontwikkelingen op het gebied van de informatie- en communicatietechnologie (Bruggen slaan, Regeerakkoord VVD – PvdA, 29 oktober 2012, p. 28). Er werd daarbij voorgesteld om te komen tot een uitbreiding van de strafvorderlijke bevoegdheden van een aantal strafbepalingen. Er werd een “wetsvoorstel tot Wijziging van het Wetboek van Strafrecht en het Wetboek van Strafvordering in verband met de verbetering en versterking van de opsporing en vervolging van computercriminaliteit (computercriminaliteit III)” neergelegd in het Nederlandse Parlement.

In het Nederlandse wetsvoorstel is de invoering voorzien van een nieuwe bevoegdheid voor bepaalde opsporingsambtenaren, met name om een geautomatiseerd werk (daaronder wordt verstaan: een inrichting die bestemd is om langs elektronische weg gegevens te verwerken en op te slaan of over te dragen) dat in gebruik is bij een verdachte op afstand heimelijk binnen te dringen met het oog op de opsporing van ernstige strafbare feiten. Daarbij kan de beveiliging worden doorbroken of kunnen technische handelingen worden verricht om zich toegang te verschaffen tot het geautomatiseerde werk. Ook kan heimelijk software worden geïnstalleerd met behulp waarvan op specifieke punten de beveiliging wordt doorbroken of omzeild en waarmee de versleuteling van gegevens ongedaan kan worden gemaakt. Deze bevoegdheid zou onder bepaalde omstandigheden tevens kunnen worden toegepast ten aanzien van een geautomatiseerd werk dat zich niet op het Nederlandse grondgebied bevindt, maar waarbij de gevolgen van het strafbare feit zich in Nederland voordoen.

In het Belgische regeerakkoord van 1 december 2011 staat in dit verband vermeld dat “meer in het algemeen terrorisme en cybercriminaliteit nieuwe bedreigingen (vormen) van niet-militaire aard voor onze veiligheid. België zal zich in het kader van de internationale samenwerkingsverbanden krachtig inzetten voor de bestrijding van deze fenomenen”. In het licht van de snelle en diepgaande informatisering van het privé en professioneel leven en gezien het feit dat criminelen steeds meer gebruik maken van de nieuwe en ruimere mogelijkheden van de informatietechnologie (“IT”), vind ik de Nederlandse voorstellen interessant.

Politie en justitie zijn ook in België vragende partij om de wettelijke bevoegdheid te krijgen om te kunnen inbreken in communicaties en informatiesystemen van criminelen. De politiediensten wijzen er op dat cybercriminelen steeds vaker gebruik maken voor hun communicaties, het leveren van criminele diensten en voor de opslag van illegale inhoud (zoals kinderpornografie) van beveiligde systemen die worden afgeschermd door encryptie en beveiligingssystemen.

De traditionele manieren voor bewijsgaring worden hierdoor inefficiënt. Telefoontaps en internetintercepties verlenen hoe langer hoe minder toegang tot de effectieve inhoud van communicaties. Bovendien kunnen telecom-operatoren vaak ook niet langer meewerken om toegang te geven tot de inhoud van de communicaties omdat de encryptie gebeurt end-to-end. Dit wil zeggen dat de gegevens zowel vercijferd als ontcijferd worden op de eindapparatuur van de internetgebruiker. Het veel gebruikte Skype is hiervan een goed voorbeeld.

Tegelijkertijd moet echter waakzaam worden omgesprongen met deze evoluties en stellen zich daarbij verschillende problemen. Deze nieuwe bevoegdheid inzake computercriminaliteit houdt immers een inperking in van de privacy van verdachten en niet-verdachten tot wiens computer toegang wordt verschaft. Vanuit internationaal en Europees mensenrechtenperspectief dient in een democratische samenleving deze bevoegdheid proportioneel te zijn met het beoogde doel.

In de Cyber Security Strategy, die door de regering werd goedgekeurd op 23 november 2012, staat dat er wordt gestreefd “naar een optimale beveiliging en bescherming van de kritieke infrastructuren en overheidssystemen tegen de cyberdreiging” en dat “vertrekkend van de bestaande wetgeving een wettelijk kader dient te worden gecreeërd met aandacht voor een evenwicht tussen de rechten en de vrijheden van de burger en de noodzakelijke tussenkomsten van de overheid”.

2. Voor politie en justitie bestaat onder de huidige wetgeving de mogelijkheid tot het uitvoeren van een netwerkzoeking (art 88ter WSv). Deze bevoegdheid laat bijvoorbeeld toe aan de onderzoeksrechter om aan de onderzoekers van de politie te bevelen om informatiesystemen van de verdachte die zich niet bevinden op de plaats van een huiszoeking, te onderzoeken.

Net als de interceptie van telecommunicaties is de netwerkzoeking een frequent gebruikte methode om bewijsmateriaal te verzamelen in belangrijke criminele fenomenen.

In de memorie van toelichting bij het artikel over de netwerkzoeking wordt echter gesteld dat deze bepaling aan de politie niet de bevoegdheid geeft om te hacken.

De gevraagde bevoegdheden sluiten echter aan op de instrumenten die reeds bestaan maar deze moeten worden aangepast om de maatschappelijke en technologische evolutie te volgen.

De interceptie van telecommunicaties is geregeld sinds half de jaren negentig.

De wet van 2010 op de bijzondere opsporingsmethodes voor de inlichtingendiensten voorziet expliciet in de mogelijkheid voor deze diensten om binnen te dringen in computersystemen van verdachten.

De informatie- en communicatiesystemen die bestonden ten tijde van de uitwerking van de wet informaticacriminaliteit van 2000, zijn echter op een revolutionaire wijze veranderd.

Vandaag de dag heeft de verdachte niet noodzakelijk nog behoefte aan eigen computersystemen maar kan hij gebruik maken van diensten die steeds vaker “in de Cloud” worden aangeboden.

Denk maar aan doordeweekse producten als Dropbox, Google drive, Office 365, iCloud. Al deze diensten worden door gewone eindgebruikers aangewend om hun gegevens te stockeren in een systeem op afstand. Hij kan zijn volledige werkomgeving bereiken via gelijk welke pc, tablet of smartphone, vanuit een bibliotheek of een hotel. Het feit dat al deze omgevingen afgeschermd zijn met diverse beveiligingssystemen maken het moeilijk of onmogelijk om de bestaande bevoegdheden nog toe te passen.

3. Een werkgroep onder leiding van de Federale procureur met vertegenwoordigers van het College van Procureurs-generaal, parketten, onderzoeksrechters en politie hebben recentelijk voorstellen geformuleerd.

4. Het is duidelijk dat cybercriminelen hun werkterrein steeds verder uitbreiden. Zij maken gebruik van de meest uiteenlopende technieken om in de meest gevoelige systemen van onze samenleving binnen te dringen. Kijk maar naar de samenwerking van cybercriminelen met drugshandelaars in de haven van Antwerpen. Hun gegevens zijn opgeslagen op beveiligde servers en gehackte systemen. Als politie en justitie geen uitbreiding van hun bevoegdheden krijgen, zal de strijd tegen de criminaliteit onmogelijk worden. Dit hoeft niet te leiden naar een digitale oorlogsvoering. De nieuwe bevoegdheden moeten begeleid zijn met de noodzakelijke waarborgen binnen onze democratie.

5. De Europese Commissie legde een voorstel tot richtlijn neer op 30 september 2010 over aanvallen op informatiesystemen . De Raad van de Europese Unie bereikte een akkoord over een algemene aanpak op 10 juni 2011. Het comité van de burgerlijke vrijheden, justitie en binnenlandse zaken heeft op 6 juni 2013 een eerste stemming in eerste lezing gehouden.

In de huidige stand van de tekst is het veeleer de bedoeling om te komen tot een gemeenschappelijke definitie van bepaalde strafbare feiten: onrechtmatige toegang tot een informatiesysteem, onrechtmatige systeemverstoring en onrechtmatige gegevensverstoring. Er is volgens onze informatie nog geen sprake van het toekennen van een hackbevoegdheid aan de overheden.