Qu’un simple amateur puisse se procurer sans peine des données médicales sensibles devrait alerter les autorités sur leur dispositif de protection des données. Mais ils préfèrent exécuter le messager.
Le ministre de la justice, François Biltgen, n’a eu besoin que d’une seule phrase pour prouver qu’il ne comprenait rien à la matière : « Les hackers de nos jours deviennent de plus en plus inventifs », déclarait-il la semaine dernière à propos du « scandale » de la base de données du service médico-sportif (voir woxx 1146). Il aurait du moins pu faire la différence entre un hack et un leak. Le premier implique une personne versée en informatique, qui sait casser les firewalls et autres dispositifs qui protègent les grands serveurs pour s’y introduire et – s’il le veut – modifier ou copier leur contenu. Un leak par contre n’implique pas forcément un génie du clavier, mais juste une personne qui sait quelque-chose ou qui a accès à des données sensibles et qui les publie. Bien sûr, les deux phénomènes ne s’excluent pas, mais tout de même : qualifier quelqu’un de hacker qui n’a rien fait d’autre que de se procurer un mot de passe, collé carrément devant ses yeux, ce n’est pas très souverain.
Et puis dans le hacking, il y a encore une autre dimension, totalement ignorée par les autorités luxembourgeoises : l’éthique. Car le « leaker » de la base de données du service médico-sportif – comme il l’a révélé au quotidien gratuit « L’essentiel » du lundi passé – n’est pas allé consulter les dizaines de milliers de fiches auxquelles il avait pu avoir accès, mais s’est contenté de faire quelques captures d’écran pour prouver son introduction dans le système. Et aussi la facilité déconcertante avec laquelle il s’est procuré cet accès, car, honnêtement, pour taper un mot de passe dans un ordinateur, il ne faut pas être malin. Mais ce que les autorités ne comprennent pas, c’est que la motivation du « leaker » était uniquement de les rendre attentifs à la sensibilité de leur système. S’il avait publié ces informations, les fiches médicales des frères Schleck et autres sportifs connus circuleraient sur le net et le « scandale » aurait connu une toute autre ampleur.
Il faut savoir qu’au niveau international, les choses se passent différemment, car les grandes firmes – comme Microsoft ou des réseaux sociaux comme Facebook – paient carrément les hackers pour leur travail, à condition qu’ils n’exploitent pas les données auxquelles ils ont eu accès, pour les remercier d’avoir trouvé des failles dans leur système. Car aucun système informatique n’est infaillible et le risque zéro n’existe pas. De ce point de vue, le gouvernement et la commission nationale de la protection des données feraient mieux d’adapter au plus vite des systèmes de protection plus efficaces, Luxtrust ou autres plus sophistiqués, pour au moins mieux protéger les données sensibles, avant de vouloir créer encore plus de banques de données centralisées, comme celle que prévoit notamment la nouvelle loi sur l’enseignement secondaire avec une banque qui reprendra toutes les données sur les élèves. Et puis, il faudra aussi exercer un contrôle plus efficace sur les personnes qui ont le droit de consulter ces données : chaque accès doit être notifié et justifié.
On le voit, alors que le Luxembourg s’apprête à fêter ce samedi la journée nationale de la protection des données, le pays devrait faire des efforts pour changer de mentalité quant à la protection des données. Cela pourrait même avoir des impacts sur l’économie. Car, comment voulez-vous attirer des firmes IT internationales au grand-duché quand sa réputation en ce qui concerne la protection informatique est si nulle ?