Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 6-2107

de Lionel Bajart (Open Vld) du 11 janvier 2019

au vice-premier ministre et ministre des Affaires étrangères et européennes, et de la Défense, chargé de Beliris et des Institutions culturelles fédérales

Sites internet des pouvoirs publics - Sécurité des communications - Fuites - Amélioration de la sécurité - Mesures

Internet
criminalité informatique
protection des données
Pays-Bas
ministère
administration publique
site internet

Chronologie

11/1/2019Envoi question (Fin du délai de réponse: 14/2/2019)
8/4/2019Réponse

Réintroduction de : question écrite 6-1180

Question n° 6-2107 du 11 janvier 2019 : (Question posée en néerlandais)

Les connexions vers de nombreux sites internet des pouvoirs publics néerlandais ne sont pas bien sécurisées. C'est ce qui ressort de l'étude réalisée par l'Open State Foundation, une organisation non lucrative qui « veut augmenter la transparence en politique ». On peut reconnaître une connexion sécurisée au petit cadenas qui apparaît dans le moteur de recherche.

L'organisation a examiné 1.816 sites internet des pouvoirs publics ; seuls 44 % d'entre eux ont des connexions sécurisées. 6 % ont effectivement une connexion sécurisée mais ne l'ont pas bien configurée, ce qui laisse la porte ouverte à des piratages.

La connexion vers le site internet de la Rijksrecherche n'est pas sécurisée. Cette section de la police néerlandaise mène des enquêtes sur les manquements commis par des fonctionnaires publics, notamment des collaborateurs de police. Jusqu'à la fin du mois de novembre 2016, quiconque dénonçait un manquement sur le site de la Rijksrecherche courait toutefois le risque que son message soit lu par d'autres personnes. Cela pouvait par exemple se faire par des bornes wifi publiques, comme dans le train, dans un hôtel ou dans un restaurant : la connexion était alors facile à intercepter.

Après que le site d'information néerlandais NOS a signalé la chose, le formulaire de dénonciation a été enlevé du site. Un porte-parole a fait savoir qu'il n'était temporairement plus possible de signaler des abus. Les citoyens qui ont des informations à communiquer peuvent encore téléphoner. On examine si des mesures de suivi sont nécessaires.

Même la page d'accueil du site internet de l'administration fiscale n'a pas de connexion sécurisée. L'accès au site de l'administration fiscale est bien sécurisé mais comme la page d'accueil ne l'est pas, un hacker peut forcer une connexion non sécurisée. Cela peut par exemple se faire en créant une fausse borne wifi dans une gare ou un autre endroit très fréquenté.

Ironie de la situation : la connexion du site officiel qui est censé promouvoir une administration consciente des dangers d'internet, n'est pas bien sécurisée.

L'étude concernait les pages d'accueil des sites internet publics ; il est possible que certaines parties des sites soient mieux sécurisées. Les experts en sécurité informatique conseillent toutefois de prévoir une connexion sécurisée pour l'ensemble du site internet. On peut reconnaître les sites non sécurisés à l'absence de cadenas dans le moteur de recherche.

De même, certains sites internet d'ambassades néerlandaises dans des pays où les droits fondamentaux de l'homme sont violés, ne sont pas sécurisés avec une connexion https en bon état de marche.

Une étude menée antérieurement sur les sites des pouvoirs publics dans notre pays a révélé des défauts similaires. Fedict, le service public fédéral Technologie de l'Information et de la Communication, a réagi en indiquant qu'il allait exécuter plus rapidement les mesures prévues pour améliorer le cryptage SSL.

Quant au caractère transversal de la question : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité pour la période 2016-2019 et ont fait l'objet d'un débat lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. La criminalité informatique est l'une des grandes priorités établies. Cette question concerne dès lors une compétence régionale transversale, les Régions intervenant surtout dans le volet préventif.

C'est pourquoi je souhaite vous poser les questions suivantes :

1) N'y a-t-il aucun risque de sécurité pour les sites internet des services publics fédéraux relevant de vos compétences ainsi que pour vos propres sites ? Pouvez-vous dresser la liste des sites dont vous avez la responsabilité ?

2) N'y a-t-il aucun risque, lorsque des utilisateurs se connectent via des bornes wifi, que l'on puisse lire les messages échangés avec des sites de services publics dont vous avez la responsabilité ? Pouvez-vous détailler votre réponse ?

3) Est-il vrai que parmi les sites internet des services publics qui utilisent effectivement une connexion https, il y en a encore un certain nombre qui sont configurés de telle sorte qu'ils présentent également un risque de sécurité ?

4) Pouvez-vous énumérer les sites officiels relevant spécifiquement de vos compétences en y incluant les sites des services publics fédéraux relevant de vos compétences et les sites des services extérieurs ?

5) Les mesures annoncées par le passé pour améliorer le cryptage SSL ont-elles effectivement été réalisées par Fedict sur tous les sites relevant de vos compétences ? Pouvez-vous fournir des explications concrètes à ce sujet ?

6) Pouvez-vous garantir qu'aucun des sites relevant de vos compétences ne travaille plus avec SSL-3 ? Le cas échéant, pouvez-vous expliquer votre réponse ?

7) Pouvez-vous énumérer concrètement les mesures qui ont déjà été prises depuis que l'étude réalisée sur les sites des services publics belges a mis en lumière certains défauts, en vue de sécuriser la connexion avec les sites internet des services publics ?

Réponse reçue le 8 avril 2019 :

1) a) Les sites accessibles au public sont toujours exposés à des risques de sécurité. Le service public fédéral (SPF) Affaires étrangères met tout en œuvre pour limiter, surveiller et atténuer ces risques.

Tous les sites web gérés par les Affaires étrangères utilisent TLS 1.0, TLS 1.1 ou TLS 1.2.

Les versions TLS 1.0 et TLS 1.1 sont sensibles aux attaques par rétrogradation (downgrade attacks), lors desquelles le pirate manipule le site web attaqué et abaisse le niveau du protocole de sécurité en forçant l’utilisation d’une ancienne version, moins sécurisée. Pour se protéger de ce type d’attaques, une procédure de prévention (TLS_FALLBACK_SCSV) est appliquée.

b) Pour répondre à votre question de manière générale, le SPF Affaires étrangères gère trois types de sites web, qui tous font l’objet d’un suivi et d’un contrôle poussés :

– informations destinées aux citoyens relatives au fonctionnement de la diplomatie, de la politique étrangère et de la coopération au développement et diplomatie publique ;

– sites web axés spécifiquement sur l’assistance consulaire (passeports, visas) ;

– sites web d’information liés aux représentations belges à l’étranger.

La liste complète est annexée. Des informations détaillées sur les aspects de sécurité relatifs à chacun des sites web sont disponibles.

2) Des mesures sont prises au niveau des serveurs de manière à prévenir ce risque au maximum. Les attaques par rétrogradation sont atténuées grâce à la mise en œuvre de la solution TLS_FALLBACK_SCSV et la mise à jour de sécurité KB2655992 recommandée par Microsoft.

3) Sur le site web https://travellersonline.diplomatie.be, aucune solution TLS_FALLBACK_SCSV n’est appliquée. Comme il s’agit d’une application web Azure (Microsoft), seules les mesures standard prévues par Microsoft Azure sont appliquées ; aucune mesure particulière supplémentaire ne peut être prise par les Affaires étrangères.

4) Je renvoie l’honorable membre à la liste annexée.

L’hébergement s’effectue au niveau du nom de domaine :

– les sites web avec l’extension belgium.be relèvent des services partagés de la Chancellerie du premier ministre ;

– les sites web avec l’extension diplomatie.be relèvent des Affaires étrangères.

5) Le service Qualys SSL labs et l’outil SSLSCAN sont utilisés pour scanner les sites.

6) SSLv3 est désactivé sur tous les sites et une vérification est opérée au moyen d’un scan axé sur l’utilisation de SSLv3.

7) SSLv3 est désactivé, TLS_FALLBACK_SCSV est appliqué partout où cela est possible et une gestion des correctifs (patch management) est appliquée à intervalles réguliers.

ANNEXE : Liste des sites web des Affaires étrangères

7web.diplomatie.be

algeria.diplomatie.belgium.be

angola.diplomatie.belgium.be

app.powerbi.com/

appointment.diplomatie.be

apps.abh-ace.be

apps.diplomatie.be

apps.diplomatie.belgium.be

apps.maisonschengen.eu

apps3.abh-ace.be

apps3.diplomatie.be

apps3.diplomatie.belgium.be

argentina.diplomatie.belgium.be

australia.diplomatie.belgium.be

austria.diplomatie.belgium.be

azerbaijan.diplomatie.belgium.be

belpas.be

benin.diplomatie.belgium.be

betounsc.be (renvoie depuis la fin novembre 2018 vers https://newyorkun.diplomatie.belgium.be)

b-fast.be

b-fast.diplomatie.be

biometrie.diplomatie.be

biometrie.diplomatie.belgium.be

bosniaherzegovina.diplomatie.belgium.be

brazil.diplomatie.belgium.be

brazilie.diplomatie.belgium.be

bulgaria.diplomatie.belgium.be

bulgarie.diplomatie.belgium.be

bulgarije.diplomatie.belgium.be

burkinafaso.diplomatie.belgium.be

burundi.diplomatie.belgium.be

cameroon.diplomatie.belgium.be

canada.diplomatie.belgium.be

chile.diplomatie.belgium.be

china.diplomatie.belgium.be

chine.diplomatie.belgium.be

colombia.diplomatie.belgium.be

colombie.diplomatie.belgium.be

consular.diplomatie.be

cotedivoire.diplomatie.belgium.be

croatia.diplomatie.belgium.be

croatie.diplomatie.belgium.be

cuba.diplomatie.belgium.be

czechrepublic.diplomatie.belgium.be

denmark.diplomatie.belgium.be

deutschland.diplomatie.belgium.be

diplomatie.belgium.be

dns1w.fgov.be.

dns2s.belgium.be.

dns3a.westeurope.cloudapp.azure.com.

drcongo.diplomatie.belgium.be

duitsland.diplomatie.belgium.be

egypt.diplomatie.belgium.be

egypte.diplomatie.belgium.be

elegalisation.diplomatie.be

espagne.diplomatie.belgium.be

espana.diplomatie.belgium.be

estage.diplomatie.be

ethiopia.diplomatie.belgium.be

ethiopie.diplomatie.belgium.be

eupuzzle.diplomatie.belgium.be

europeanunion.diplomatie.belgium.be

finland.diplomatie.belgium.be

finlande.diplomatie.belgium.be

focusonbelgium.be

france.diplomatie.belgium.be

germany.diplomatie.belgium.be

grece.diplomatie.belgium.be

greece.diplomatie.belgium.be

griekenland.diplomatie.belgium.be

hongarije.diplomatie.belgium.be

hongkongmacau.diplomatie.belgium.be

hongrie.diplomatie.belgium.be

hungary.diplomatie.belgium.be

ierland.diplomatie.belgium.be

inde.diplomatie.belgium.be

india.diplomatie.belgium.be

indonesia.diplomatie.belgium.be

indonesie.diplomatie.belgium.be

iran.diplomatie.belgium.be

ireland.diplomatie.belgium.be

irlande.diplomatie.belgium.be

israel.diplomatie.belgium.be

italia.diplomatie.belgium.be

italie.diplomatie.belgium.be

italy.diplomatie.belgium.be

jamaica.diplomatie.belgium.be

jamaique.diplomatie.belgium.be

japan.diplomatie.belgium.be

jerusalem.diplomatie.belgium.be

jordan.diplomatie.belgium.be

jordanie.diplomatie.belgium.be

kazakhstan.diplomatie.belgium.be

kenia.diplomatie.belgium.be

kenya.diplomatie.belgium.be

kosovo.diplomatie.belgium.be

kroatie.diplomatie.belgium.be

kuwait.diplomatie.belgium.be

lebanon.diplomatie.belgium.be

legalweb.diplomatie.be

luxembourg.diplomatie.belgium.be

malaisie.diplomatie.belgium.be

malaysia.diplomatie.belgium.be

maleisie.diplomatie.belgium.be

mali.diplomatie.belgium.be

maroc.diplomatie.belgium.be

mexico.diplomatie.belgium.be

morocco.diplomatie.belgium.be

mozambique.diplomatie.belgium.be

nato.diplomatie.belgium.be

nederland.diplomatie.belgium.be

netherlands.diplomatie.belgium.be

newyorkun.diplomatie.belgium.be

niger.diplomatie.belgium.be

nigeria.diplomatie.belgium.be

norvege.diplomatie.belgium.be

norway.diplomatie.belgium.be

oecd-unesco.diplomatie.belgium.be

oeganda.diplomatie.belgium.be

oekraine.diplomatie.belgium.be

ouganda.diplomatie.belgium.be

pakistan.diplomatie.belgium.be

panama.diplomatie.belgium.be

peru.diplomatie.belgium.be

philippines.diplomatie.belgium.be

poland.diplomatie.belgium.be

pologne.diplomatie.belgium.be

polska.diplomatie.belgium.be

portugal.diplomatie.belgium.be

qatar.diplomatie.belgium.be

republicofkorea.diplomatie.belgium.be

republiekkorea.diplomatie.belgium.be

republiquedecoree.diplomatie.belgium.be

republiquetcheque.diplomatie.belgium.be

roemenie.diplomatie.belgium.be

romania.diplomatie.belgium.be

roumanie.diplomatie.belgium.be

rusland.diplomatie.belgium.be

russia.diplomatie.belgium.be

russie.diplomatie.belgium.be

rwanda.diplomatie.belgium.be

saoedi-arabie.diplomatie.belgium.be

saudiarabia.diplomatie.belgium.be

senegal.diplomatie.belgium.be

serbia.diplomatie.belgium.be

serbie.diplomatie.belgium.be

servie.diplomatie.belgium.be

singapore.diplomatie.belgium.be

smtp.diplomatie.be

southafrica.diplomatie.belgium.be

spain.diplomatie.belgium.be

spanje.diplomatie.belgium.be

srbija.diplomatie.belgium.be

suede.diplomatie.belgium.be

suisse.diplomatie.belgium.be

sweden.diplomatie.belgium.be

switzerland.diplomatie.belgium.be

taipei.diplomatie.belgium.be

tanzania.diplomatie.belgium.be

tanzanie.diplomatie.belgium.be

thailand.diplomatie.belgium.be

thailande.diplomatie.belgium.be

travellersonline.diplomatie.be

tsjechie.diplomatie.belgium.be

tunesie.diplomatie.belgium.be

tunisia.diplomatie.belgium.be

tunisie.diplomatie.belgium.be

turkey.diplomatie.belgium.be

turkije.diplomatie.belgium.be

turquie.diplomatie.belgium.be

uganda.diplomatie.belgium.be

ukraine.diplomatie.belgium.be

unitedarabemirates.diplomatie.belgium.be

unitedkingdom.diplomatie.belgium.be

unitednationsgeneva.diplomatie.belgium.be

unitedstates.diplomatie.belgium.be

vaticaanstad.diplomatie.belgium.be

vaticancity.diplomatie.belgium.be

venezuela.diplomatie.belgium.be