Beveiligingsproblemen bij onlinegebruik van eID-kaart

26/07/13 om 18:45 - Bijgewerkt om 18:45

(Belga) Er zijn mogelijke veiligheidsproblemen bij het onlinegebruik van eID-kaarten. Zo kunnen computergebruikers zich soms zonder eID of pincode aanmelden op de eID-kaart van iemand anders als die laatste zijn websessie niet helemaal heeft afgebroken. Dat blijkt uit het antwoord van minister van Ambtenarenzaken Hendrik Bogaert op een schriftelijke vraag van Kamerlid Vincent Van Quickenborne (Open Vld).

Beveiligingsproblemen bij onlinegebruik van eID-kaart

Wie een eID-kaart heeft, kan online gebruikmaken van een hele reeks toepassingen zoals Tax-on-Web, het berekenen van zijn pensioen of het aanvragen van attesten uit het rijksregister. Maar Open Vld'er Van Quickenborne, zelf gewezen minister van Administratieve Vereenvouding, zegt dat er hem vrij grote 'security holes' zijn gemeld bij het onlinegebruik van de eID-kaart. "Zo blijkt het uitloggen van een eID-account niet waterdicht te zijn. Binnen de minuut na de boodschap 'u bent afgemeld' kan men onmiddellijk terug naar de site gaan en is men 'terug aangemeld' alsof men nooit afgemeld was. Hiervoor is geen kaart en geen pincode nodig", aldus Van Quickenborne. Staatssecretaris Bogaert benadrukt dat de eID-kaart op zich "onbetwistbaar veilig" is, maar geeft toe dat er problemen mogelijk zijn met de toepassingen van de eID-kaart. Met name het gebruik van https/SSL als basis voor het aanloggen met de eID-kaart kan een probleem vormen. Zo zijn er browsers die wachten met het afbreken van een sessie, waardoor andere gebruikers de websessie van een voorgaande gebruiker kunnen "hergebruiken". Denk bijvoorbeeld aan computers op openbare plaatsen zoals bibliotheken en internetcafés. "In recente versies van de verschillende browsers worden de sessies direct afgebroken bij het sluiten van de browser. Een aanvullende maatregel is het 'automatisch' beperken van de geldigheid van een via SSL opgebouwde websessie", aldus Bogaert. Volgens de CD&V-staatssecretaris onderzoekt de betrokken overheidsdienst Fedict ook de mogelijkheid waarbij de websessie door de toepassing zelf wordt beheerd en niet door het SSL-protocol. Of die piste het ook zal halen, is volgens Bogaert onder meer afhankelijk van de "beschikbare budgettaire middelen". (Belga)

Onze partners