15 april 2015 09:05

SSL-beveiliging Belgische overheidssites teleurstellend

De meeste Belgische overheidssites scoren zeer matig qua SSL-beveiliging en zijn nog altijd erg kwetsbaar voor de eind vorig jaar ontdekte POODLE-bug.

Masterstudent Thomas Vanhoutte, die in Breda aan een thesis over cryptogeld werkt, heeft negen Belgische overheidssites door de SSL Labs-test gehaald, zo bericht Data News. Die test onderzoekt of het SSL-encryptieprotocol correct geconfigureerd is en naar de laatste versie werd geüpgraded. Daarna krijgt elke site een score van A+ (zeer goed) over B (zwak) tot C, D, E en F (slecht tot zeer slecht).

De resultaten van het onderzoekje zijn behoorlijk ontnuchterend. Slechts één portaal (dat van eHealth) haalt een A-. De FOD Financiën en de Privacycommissie krijgen een B. Biztax, Csam, DIBISS en de site van de Sociale Zekerheid stranden op een C. Digiflow en e-Gov zijn de rode lantaarn met een F.

Alle sites die C of minder scoren zijn bijvoorbeeld nog allemaal kwetsbaar voor de zogenaamde POODLE-bug. Aanvallers die netwerktoegang hebben, kunnen daarmee de datapakketjes die met SSL werden versleuteld probleemloos opnieuw ontcijferen.

In een reactie aan Belga zegt Fedict, de Federale overheidsdienst Informatie- en Communicatietechnologie, dat het reeds geplande maatregelen om de SSL-encryptie te verbeteren nu versneld zal uitvoeren. Daardoor zullen sommige websites wel niet meer toegankelijk zijn voor gebruikers van Windows XP en oude webbrowsers als Internet Explorer 6.

Het onderzoek van Vanhoutte was geïnspireerd op dat van beveiligingsblogger Yeri Tiete. Die deed in februari ook al dezelfde test voor enkele grote Belgische banken. Ook toen waren de resultaten allesbehalve schitterend en moesten sommige banken onder druk van de publieke opninie hun beveiliging snel aanscherpen.

Update 15/04: De problemen met de veiligheid van SSLv3 waren ook bij Smals eerder bekend. Een actieplan was reeds aan de gang (oa. voorlopige maatregelen, oplossen afhankelijkheid van een interne toepassing) en werd sinds eergisteren versneld doorgezet voor de websites in beheer bij Smals: www.socialsecurity.be, www.csam.be en www.dibiss.fgov.be.

SSL v3-verbindingen zijn vanaf gisteren dus niet langer mogelijk. Een nadeel van deze beslissing is dat de genoemde sites niet langer toegankelijk zullen zijn voor sommige gebruikers met een ouder systeem, namelijk Windows XP en Internet Explorer 6 of ouder. Het contactcenter Eranova, dat gebruikersondersteuning biedt voor de toepassingen van de sociale zekerheid, is voorbereid om de getroffen gebruikers van antwoord te dienen.