Sven Clement et un collaborateur du CIRCL, ont été perquisitionnés dans le cadre de l’affaire de la fuite des données de santé de milliers de sportifs luxembourgeois, le MedicoLeak.

Rappel des faits : Il y a deux mois, un patient sportif luxembourgeois repère une maladresse évidente de la part d’un médecin du sport, lors d’une visite au cabinet médical. En effet, le docteur fait preuve d’inadvertance évidente en apposant sur un écran d’ordinateur, ce qu’il semble être des codes d’accès à une plateforme de données médicales. Le patient prend note de ces codes et de retour à la maison les utilise pour accéder à la base de données. Celle-ci contient des données sensibles et de santé de 50.000 sportifs suivis à Luxembourg.

Aussitôt, l’homme prévient le CIRCL, le Computer Incident Response Center Luxembourg, le CERT pour le grand public luxembourgeois, afin que les autorités remédient à cette faiblesse de sécurité. L’institution pour la sécurité informatique des citoyens suit donc la procédure en vigueur et prévient le GovCERT, le CERT gouvernemental compétent en la matière.

Deux semaines plus tard, le larron tente à nouveau l’opération et se voit à nouveau autoriser l’accès aux données. Surpris qu’aucune suite corrective n’ait eu lieu, il détrousse les données… Il dira plus tard – notamment dans une interview sous protection de son anonymat et donnée à l’Essentiel -, sans intention de nuire ou de profit… Informé, le ministre François Biltgen improvise une conférence de presse et mandate Pierre Zimmer, le directeur du CTIE à poursuivre l’auteur du larcin…

Le président du Piratepartei monte au créneau

Sven Clement, le président du parti qui prône la démocratie directe, le Piratepartei Lëtzebuerg, et en outre spécialiste des questions de sécurité IT, commente alors à souhaits la situation. « Je trouve que la réaction du gouvernement est incompréhensible, dit-il à l’époque. L’auteur n’a pas publié ces données ; il a simplement démontré la négligence que l’Etat accorde à ses bases de données… »

En effet, il est certain que c’est sur une infrastructure publique, le CTIE, que la base de données médico-sportive est installée. Le serveur répond en effet sous saturn.etat.lu. Par ailleurs, cette banque de données retournerait de la responsabilité du ministre des sports Romain Schneider, qui ne réagit pas, perdu dans ces questions. C’est François Biltgen qui « ferme la porte alors que le cheval s’est déjà enfoui », dira Sven Clement. Le ministre joue ici l’homme aux multiples casquettes : Ministre de la Justice, Ministre des Communications, Ministre de la Fonction publique…

« Nous disposons à Luxembourg de tous les outils et de toutes les technologies pour garantir la sécurité des données. L’Etat dispose de trois CERT’s (Restena, GovCert et Circl), d’une solution d’encryption avec LuxTrust, de Cases, BeeSecure, et bien d’autres encore… L’Etat finance même un des meilleurs centres de recherche en sécurité IT, le SnT au sein de l’Université de Luxembourg…. Pourquoi ne les utilise-t-il pas à bon escient ? »
Sven Clement, président du Piratepartei

L’image luxembourgeoise en a pris un sacré coup

La visibilité que Sven Clement s’est donnée ne plaît pas. Sur le banc gouvernemental, on doit constater que ce ‘case’ tombe à mal notamment au regard de la volonté nationale de présenter le Luxembourg comme étant un coffre-fort électronique au cœur de l’Europe. Par ce leakage, c’est l’image luxembourgeoise qui est écornée. « Luxembourg a complètement perdu sa crédibilité de protecteur des données personnelles », dit-on.

La série des maillons faibles

C’est bel et bien toute une série d’incongruités qui a conduit à cette situation. D’une part, il est évident que chacune des administrations, des ministères ou des instances de l’Etat peut créer et mettre en place, comme bon lui semble, une base de données qui détient des données sensibles. Sans guidance, sans gouvernance.

En outre, le CTIE, hébergeur des services IT de l’autorité, n’a aucune visibilité de ce qui lui est confié et de comment cela a été construit.

Enfin, nombre de fonctionnaires n’ont cure de la sécurité IT avancée, et pensent qu’une combinaison d’identifiant/mot de passe est suffisante pour protéger des données aussi critiques que les informations de santé des citoyens. En effet, la base de données n’était ni cryptée, ni soumise à une authentification convenable des utilisateurs… La réponse du ministre de la Fonction publique (à nouveau François Biltgen), aura été d’annoncer un vaste plan de formation et de sensibilisation pour les fonctionnaires de l’Etat… « C’est une façon de se détourner de la responsabilité et de la faire reposer sur le dos des fonctionnaires », dit un interlocuteur.

Pourtant, le Robin des Bois aurait dû se rendre à l’évidence : un délais de 14 jours pour mettre en place un correctif de sécurité est un peu étroit, lorsque l’on sait que les entreprises mettre entre 30 et 140 jours pour combler leurs failles IT. Enfin, il faut savoir que l’on ne menace pas un gouvernement ; généralement il le prend mal…

Mercredi à l’aube, chez Sven Clément

Mercredi dernier, le rebondissement attendu s’est produit. En effet, il paraît assez évident que les enquêteurs de la police judiciaire n’ont pas tardé à repérer quels étaient les identifiants qui avaient servi à la mainmise sur les données médico-sportives. Et de remonter, probablement avec l’agenda du médecin, à une série de candidats… Mercredi donc, au petit matin, Sven Clement a reçu la visite de cinq membres des forces de l’ordre ; 2 de la PJ, 3 de la police municipale.

Les enquêteurs ont saisi, sur ordonnance du tribunal et dans le cadre de cette affaire, deux MacBook’s, deux GSM et un iPad… « Il était clair que les policiers étaient en train de procéder à une perquisition qui me concerne en tant qu’inculpé, explique aujourd’hui Sven Clement. La justice me reproche trois choses : Vol, Vol à l’aide de fausses clés et Infraction informatique, soit les articles 509-1 à 4 du code pénal. »

En tout état de cause, la justice estime donc qu’une photo prise avec un smartphone constitue le vol d’une information ; un fait qu’il faudra encore démontrer. « Avec une sanction pouvant atteindre les dix ans de réclusion pour ces infractions, je ne doute aucunement que les enquêteurs aient pu avoir accès à mes données de géolocalisation… », doit reconnaître Clément.

Les Verts luxembourgeois, Déi Gréng, ont déjà demandé au gouvernement de raison garder dans ce dossier et de retirer sa plainte et au procureur de bien peser le pour le contre d’une poursuite tête baissée. Jeudi, Sven Clement demandera la main levée lors de son audience au tribunal…

Le CIRCL visité

Les enquêteurs ont également rendu visite au CIRCL, a confirmé Alexandre Dulaunoy. La police a perquisitionné les outils d’un collaborateur du CIRCL, un opérateur qui a été en contact avec le détrousseur lorsque celui-ci a remonté la brèche de sécurité. Une procédure normale selon le CIRCL qui voit quelques demandes judicaires arriver de temps à autre, pour obtenir des informations uniquement dans le cadre du dépôt de plaintes des citoyens. Le CIRCL recense quelques 5000 incidents par an et 98% de ceux-ci ne sont pas suivis d’un dépôt de plainte.

Pour Sven Clement, c’est bien là aussi toute l’illogique de ce dossier : « Aujourd’hui, plus personne n’osera contacter le CIRCL de peur d’être poursuivi… » « Un effet de bord » dont Alexandre Dulaunoy est également bien conscient.

Reste un drôle de sentiment au regard de cette affaire. Certes, dérober des identifiants (même par une photo d’un post-it visible de tous) pour démontrer la faible mise en pratique des intentions tant affichées, est assez maladroit. La preuve par l’absurde en a été faite. Mais la réponse gouvernementale est également étonnante : punir avec fermeté un enfant qui montre un œuf en chocolat du bout du doigt le jour de Pâques est-il approprié ? L’Etat aurait certainement eu plus à gagner de faire profil bas et de repenser avec sérénité la sécurité informatique de toutes les composantes du pays…

La communication sur l’affaire est étrange

Enfin, reste une vaste question autour de la médiatisation de cette affaire… Sven Clement a rapidement commenté cette histoire alors que le Ministre Biltgen improvisait une conférence de presse à chaud… Du jamais vu ! Hier, la presse nationale s’est emparée de ce dernier rebondissement. Le Lëtzebuerger Journal, suivi par le Wort, puis par les gratuits ont été informés de la perquisition de mercredi 6h30. RTL a même elle obtenu les trois chefs d’accusation, alors que les premiers concernés dont Sven Clement ou son avocat, affirment n’avoir commenté sur ces éléments précis. « Proche du dossier » et « bien informé » reviennent sans arrêt dans les discussions. Est-ce qu’au-delà de l’affaire judicaire, une symbolique partisane ou politique est à lire entre les lignes est une autre question… pertinente.