Skip to content

Instantly share code, notes, and snippets.

@wget
Last active October 12, 2021 09:24
Show Gist options
  • Save wget/fdca2fa763dbb82bdb9a8a00e0b4fda6 to your computer and use it in GitHub Desktop.
Save wget/fdca2fa763dbb82bdb9a8a00e0b4fda6 to your computer and use it in GitHub Desktop.

Appel à l'IBPT du 2021-10-11

Impression générale : l'IBPT est un point de contact entre les services consommateurs et les services de la sureté/autorités judiciaires. Leur sympatie témoigne de leur volonté d'aider à se mettre en conformité surtout qu'on leur montre qu'on y met du nôtre. Il n'y a pas de pression à avoir. Les dates sont présentes pour mettre la pression vis-à-vis des mauvais acteurs (l'IBPT ne dispose pas que d'opérateurs belges), mais il n'y a pas d'amende à la clé si on est en retard.

Enregistrement à l'IBPT (attributions)

Le service attribution est le service qui enregistre les activités pour lesquelles on est enregistré chez l'IBPT.

Point de contact :

Partie du service des attributions
Monsieur Paulon
+32 2 226 89 32
networks.services@ibpt.be

Point de contact Neutrinet à l'IBPT:

Thierry Fenasse, habitant Ixelles.

-> Cette donnée n'est pas utile pour eux. Ca peut être une adresse générique. Nous pouvons demander à la supprimer si nécessaire. M. Paulon rappelle qu'il faut cependant faire attention quand on communique les données de point de contact à l'IBPT, car ces données sont publiques. Après vérification dans le fichier, aucune donnée personnelle ne se trouve dans la liste des opérateurs de télécommunications.

En janvier 2022, suite à une demande de l'Europe, l'IBPT enverra un email à chacun de ses membres pour mettre à jour les services pour lesquels ils sont enregistrés. Le faire maintenant nous permet de prendre de l'avance.

Depuis le 2014-02-27, on est enregistré à l'IBPT en tant que :

  • fournisseur d'internet fixe et VPN
  • fournisseur d'internet par réseau hertien (pour le Wi-Fi public donc)
  • on n'est pas enregistré pour la radio.

Une cellule CCJ ne dépend pas de l'activité. TOUS les organismes membres de l'IBPT doivent s'y conformer. Supprimer l'activité internet ne servirait à rien et n'entrainerait pas de diminution de prix de la cotisation d'adhésion (~340 EUR, indexé, donc chaque année ça augmente). De l'aveu même de l'IBPT, la probabilité qu'on nous contacte par le biais de la CCJ est extrênement faible.

AI: M. Paulon demande à ce qu'on envoie un mail à networks.services@ibpt.be avec nos nouvelles attributions. Il a déjà procédé à la mise à jour, mais demande une trace par email. En étant qu'un seul fournisseur de VPN, il s'interroge de la pertinence pour nous de continuer à être inscrit à l'IBPT. Suite à notre réponse que c'est pour pouvoir se targuer d'être « le seul fournisseur internet neutre de belgique », il comprend la logique même s'il trouve que c'est quand même cher pour, en quelque sorte, un slogan.

Ne s'enregistrer que comme fournisseur VPN entrainera juste une diminution du nombre d'email qu'on reçoit d'eux.

Chaque organisme membre de l'IBPT doit communiquer à l'IBPT spontanément son chiffre d'affaire. En tant qu'ASBL, Neutrinet doit s'y conformer, même si l'IBPT sait bien que notre chiffre d'affaire est nul.

L'IBPT n'a rien à dire sur les comptes rendus publics qui ne les regardent pas. La seule demande qu'ils émettent est de respecter le GDPR. A ce titre, veiller à ce qu'il n'y ait pas de mentions de membres (leurs noms). En guise d'anecdote, ils ont reçu une demande d'un ancien employé IBPT leur demandant toutes les données qu'ils contenaient sur lui. Ils ont dû s'y conformer, nécessitant des fouilles archéologiques niveau mails notamment.

Le CCJ en pratique

Point de contact:

Sabrina Panzone
Service sécurité des réseaux - Secrétariat
+32 2 226 89 77
sec_netsec@bipt.be

Il n'a que elle derrière cette adresse email, sa collègue est en congé maladie pour un temps certain.

Note: A pris un certain temps avant de décrocher. C'est elle qui nous a renvoyé par la suite vers M. Paulon.

Elle rappelle le rôle d' l'IBPT : être derrière les opérateurs pour les aider et placer les données de point de contact pour les autorités judiciaires et de la sureté. Les délais, c'est pour mettre la pression.

Le site nis-incident est un portail unique:

  • Indident de cybersécurité : uniquement valable pour les grosses structures et les services publics ou critiques. On n'est pas concerné par ça.
  • La cellule CCJ : les coordonnées générales de contacts de notre organisme et les points de contacts individuels pour la cellule CCJ dans le cas où le numéro global ne répond pas.
  • Plateforme TANK : Elle est uniquement en test pour l'instant pour certains (des plus gros) opérateurs. Quand on verra un onglet de ce type appraitre, on ne sera pas concerné non plus.

Bien que le risque de recevoir une demande est très limité, on est susceptible de recevoir des demandes concernant n'importe quelle identification (cf. pages 66586-66587 de l’AR de 2010).

Le fait qu'on ne demande pas de carte d'identité à nos membres et qu'on le fasse confiance sur base de qui ils prétendent être risque de poser problème.

En tant que VPN, il est en effet nécessaire de devoir intercepter les connexions de notre VPN (casser les connexions TLS qui transiteraient par le VPN ?) ou à défaut enregistrer les métadonnées pendant un temps à définir afin de permettre le retracement par adresse.

AI: Pour les détails techniques, l'officier sécurité de l'IBPT prendra contact avec William le 2021-10-12.

En ce qui concerne les demandes pendant la nuit, tout dépendra du fait et de la nature de la demande. Il va de soit que pour les données demandant plus de temps, une recherche pendant la nuit ne sera pas demandée. Tout dépendra de la sévérité de la menace. S'il est question d'une attaque à la bombe imminente, il va de soi qu'une demande devra être répondue instamment, peu importe l'heure donc.

Le but de l'IBPT est de constituer une base de données de personnes de contacts (CCJ), base de données qui sera utilisée par les services judiciaires ou de sureté. En pratique, si le numéro général ne répond pas, il va de soi que les services judiciaires appeleront les personnes de contact individuellement.

Une personne de contact CCJ est un officier de sécurité. Généralement, dans les structures, c'est la même personne qui s'occupe de la mise en conformité GDPR (le DPO). Les officiers de sécurité subissent une habilitation de sureté assez lourde (les détails des points vérifiés ne sont pas et ne peuvent pas être communiqués).

Cependant, les petites structures et les organismes ne disposant pas d'officier de sécurité passent par celui de l'IBPT. Les personnes de contact CCJ ne doivent alors plus être des officiers de sécurité. Ces personnes ne doivent alors pas passer d'habilitation, mais uniquement des avis de sécurité.

En quoi consiste cet avis de sécurité ?

  • La personne doit avoir une adresse administrative belgique
  • Pas d'enqûete poussée, cependant :
    • L'officier sécurité de l'IBPT prend la liste des personnes de contacts, liste qu'il envoie à la sureté de l'état.
    • La sureté de l'état envoie un recommandé à l'adresse postale (physique) de chaque personne pour leur demander s'ils autorisent la sûreté à recouper les informations de bases de données différentes.
    • La personne de contact doit alors renvoyer son accord au recommandé.
    • L'avis de sécurité est alors réalisé par la sureté sous 30 jours et coute 50 EUR.
    • A contrario de l'officier de sécurité nécessitant une habilitation de sécurité plus pousée, les personnes de l'entourage proche d'une personne nécessitant un avis de sécurité ne sont donc pas vérifiées.
  • L'IBPT n'est donc qu'un seul intermédiaire où l'officier de sécurité répond pour nous en quelque sorte.
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment