Petite attention médiatique la semaine dernière pour une nouvelle qui en méritait bien plus : selon la radio publique 100,7, le site de la Chambre des députés aurait eu une faille donnant accès à des documents sensibles.
Non, ce n’est pas l’identité du Bommeleeër qui a été visible sur le site de la Chambre des députés, mais des « documents internes non publics », comme les a décrits le parlement dans son communiqué de presse. Et les responsables parlementaires de diligenter le parquet pour savoir s’il y a eu intrusion. Ce qui revient à rejeter la responsabilité sur le média qui a révélé cette faille, plutôt que de remettre en question les dispositifs de sécurité informatique mis en place par ses propres services.
Car s’il y a quelqu’un à qui faire porter le blâme dans cette affaire, c’est bien le service informatique de la Chambre, et lui seul. D’après les informations dont dispose le woxx, un ou plusieurs lanceur-se-s d’alerte auraient découvert la brèche par hasard, en voulant télécharger les derniers documents mis à disposition par chd.lu. Et se seraient donc rendu compte – sans passer par une quelconque technique de hacking ni se procurer des mots de passe, donc en ne faisant rien d’illégal – que des documents non destinés au public étaient disponibles. Si tel est le cas, parler d’« intrusion » comme le fait le communiqué envoyé par la Chambre est carrément trompeur, puisqu’il n’y a jamais eu d’intention de s’introduire dans le site de la Chambre derrière les barrières de ce qui est public.
Certes, il se pourrait que d’autres personnes plus malveillantes aient été au courant de cette lacune et l’aient exploitée sans en avertir la Chambre. Mais incriminer le média qui a révélé cette faille ou encore le ou les lanceur-se-s d’alerte revient à un vieux réflexe vu trop souvent : celui de tirer sur le messager qui apporte la mauvaise nouvelle. Alors qu’ici, un ou des lanceur-se-s d’alerte n’ont fait que leur devoir, celui d’informer sur une faute dans le système.
Un ou des lanceur-se-s d’alerte qui d’ailleurs ne seront toujours pas protégé-e-s par la loi. Comme l’a admis le ministre de la Justice Félix Braz dans une interview au Luxemburger Wort, il n’y aura plus de nouvelle législation pour protéger les lanceur-se-s d’alerte sous cette législature. Pour l’instant, la loi ne couvre que les dénonciations de corruption. En conséquence, si la ou les personnes ayant révélé les Chamberleaks s’étaient directement mises en contact avec les autorités, le risque que celles-ci s’en prennent à elles ou eux aurait été patent. Cela fait donc aussi des Chamberleaks la meilleure illustration de la nécessité pour la législation luxembourgeoise de protéger les lanceur-se-s d’alerte et de devenir plus transparente en général.
