Chamberleaks : Alors que la Vieille Dame du Marché-aux-Herbes essuie une tempête sans précédent et tangue dangereusement

Y-a-t-il encore un capitaine à bord du vaisseau parlementaire ?

d'Lëtzebuerger Land vom 23.03.2018

Il est connu que les marins, même les plus vieux et expérimentés d’entre eux, redoutent les avis de gros temps qui ne présagent rien de bon. Lorsque les astres mal alignés annoncent des eaux agitées, des rafales violentes accompagnées d’orage et de solides précipitations, tout capitaine en mer raisonnable préfère abriter son bateau pour éviter qu’il ne se fracasse sur un écueil et mette ainsi en péril son existence ainsi que celle de ses matelots.

Rien de tel pour la Vieille Dame du Marché-aux-Herbes, vaisseau amiral de la flotte institutionnelle luxembourgeoise qui, tel un pétrolier fou, avec sa nonantaine d’équipage à bord, continue à foncer dans une houle déchaînée. Ceci sans officiers sur la passerelle de commandement, persuadés que la tempête – ils doivent se dire une énième dans un verre d’eau – cessera bientôt.

Si les mots qui précèdent peuvent tenir de la métaphore un brin éculée, ils résument néanmoins assez bien le spectacle attristant et pathétique auquel se livre la première institution du pays depuis qu’elle a dû concéder qu’elle a été victime d’une faille informatique.

Cette dernière a poussé le Président de la Chambre à faire convoquer en date du 9 mars dernier – il y de cela donc exactement deux semaines – une réunion en urgence de son Bureau, organe qui assure la représentation de l’institution et la gestion de ses affaires. Après une réunion de crise d’un peu plus de deux heures, le Président s’est adressé aux représentants de la presse parlementaire pour leur dire que le Bureau de la Chambre, sur décision unanime de ses membres, allait saisir le Parquet afin de lui transmettre tous les éléments en sa possession permettant d’identifier les coupables qui, suite à un problème de sécurité, auraient pénétré par le biais d’une fenêtre non visible dans le système informatique du Parlement pour y siphonner des données internes et sensibles. Une intrusion malveillante en quelque sorte qui aurait permis à des journalistes de la radio socioculturelle 100,7 de mettre la main sur des documents qui ne leur étaient pas destinés. Et d’ajouter qu’il ne s’agit en l’occurrence pas d’une bagatelle et d’espérer que ceux qui se sont procuré frauduleusement les documents et données en question respectent, à l’image de ce que la Chambre a coutume de faire, leur déontologie.

En proie à de vils journalistes pétris d’énergie criminelle

Après ce premier acte de l’après-midi du 9 mars, place au second. Dans une mise en scène des plus burlesques, le Président, flanqué de sa garde prétorienne – les officiers de commandement que sont le secrétaire général de la Chambre, dit « le Général », et ses deux adjoints dont il se trouve que l’un, d’après un organigramme on ne peut plus hiérarchique, chapeaute le service informatique du Parlement – a rendez-vous avec les matelots de l’administration parlementaire. Alors que ceux-ci s’attendent à des mines compassées reflétant la gravité de la situation, ils découvrent plutôt des visages d’hommes teintés d’une humeur bon enfant, s’autocongratulant et se félicitant du remarquable travail effectué par l’équipe dirigeante de la Chambre ainsi que par les membres de son service informatique qui, grâce à un travail mené de haute lutte et d’arrache-pied, ont fini par boucher une dangereuse faille entrouverte par des journalistes mal intentionnés, aiguillés en cela par une énergie criminelle dont ils tardent à découvrir le secret. Se voulant rassurant, le commandant adjoint en charge de la sécurité informatique déclare à qui veut bien l’entendre que seuls des documents se trouvant sur le courrier électronique interne de la Chambre ont pu faire l’objet d’un détournement à des fins de mauvaise intention et qu’en aucun cas, des données sensibles concernant le Parlement ou encore plus directement ses agents (fiches de paie, résultats des concours, mesures disciplinaires, etc.) n’ont pu être dérobés. Médusés et dubitatifs, les matelots éprouvent du mal à croire en la bonne foi de leurs officiers.

Jeu de dupes

Le troisième acte, en train de s’écrire au fil des révélations des méchants journaleux, n’a rien de très glorieux. À leurs dépens, les matelots du vaisseau parlementaire constatent que le monde est fait de berneurs et de bernés et que les seconds feraient bien de se méfier des premiers. Ainsi, ont-ils
entretemps pu apprendre que :

– bien avant les révélations des journalistes de la radio socioculturelle en date du 7 mars, au moins un de leurs officiers de commandement fut déjà au courant de la faille sans que le Président de la Chambre en ait été averti. Signalée à un service informatique, visiblement dépassé par les événements, la faille – en dépit de vaines tentatives pendant toute une journée – n’a pas pu être comblée avant qu’elle ne soit dénoncée un jour plus tard par les journalistes de la radio socio-culturelle. Ce fut d’ailleurs la raison pour laquelle le Président de la Chambre remercia tout d’abord les journalistes de l’avoir éclairé avant de se faire plus menaçant en leur enjoignant de prendre garde à ce qu’ils publient ;

– les journalistes ont réussi à télécharger 20 000 documents du site Internet de la Chambre dont certains confidentiels et non destinés au public, ceci sans devoir recourir à un savoir-faire et des méthodes propres à des pirates informatiques ;

– le Govcert1, service supervisant la prise en charge d’incidents de sécurité informatique qui compromettent le Luxembourg, ses citoyens ou son économie, avait déjà offert sa coopération au secrétariat général de la Chambre en 2017. Moyennant convention, cette coopération aurait pu être rendue effective. La proposition de co­opération du Govcert fut cependant déclinée par le secrétariat général de la Chambre sans que les responsables politiques, réunis au sein du Bureau du Parlement, n’en aient été à aucun moment avertis.

À l’aune de ce qui précède, on peut légitimement se poser la question qui tient encore le gouvernail du vaisseau parlementaire ? Du moins en matière de sécurité informatique. Quand un secrétariat général détient des informations que le Président de la Chambre ignore ou décline une offre de collaboration de la part du Govcert sans que les responsables politiques du Bureau ne soient mis au courant, cela fait désordre. Le Parlement luxembourgeois, serait-il donc en train de faire les frais du jeu des combines politiques qui ont permis d’installer à ses leviers des dirigeants administratifs qui ne se trouvent pas à la hauteur des tâches qui leur incombent ? À l’heure où la cybercriminalité est devenue un des pans les plus juteux de toute forme de criminalité et où le vol de données informatiques peut être source de déstabilisation profonde, la Chambre est-elle bien avisée d’avoir confié les rênes de son infrastructure informatique à un secrétaire général adjoint, juriste de formation, censé jeter un œil sur un service informatique dirigé par un ancien historien ? Pas sûr que ce soit la bonne formule.

Un Président bisounours et père fouettard à la fois

Pour le moment, le seul à faire les frais de toute l’affaire est le Président de la Chambre. Mal desservi par une communication de crise hasardeuse, confectionnée de toutes pièces par le secrétaire général adjoint précité – encore lui –, il apparaît tantôt comme le gentil bisounours qui remercie les journalistes du travail accompli, tantôt comme le père fouettard qui entend les sanctionner pour leur méchanceté.

Se mettant par loyauté devant ses prétoriens, il feint d’ignorer leurs manigances et intrigues des plus subtiles. Sachant qu’il leur est tributaire pour faire fonctionner le vaisseau, qu’ils étaient déjà en place à son arrivée et qu’ils le seront encore après son départ, il hésite à leur faire perdre ses bonnes grâces. Alors que les matelots, dégoûtés par ce spectacle, se demandent dans quelle galère ils rament.

1 Le Govcert (Government computer emergency response team) est l’équipe d’intervention en charge des urgences informatiques pour le gouvernement. Il est chargé de recevoir, d’examiner et de répondre aux rapports d’incidents de sécurité informatique. Le Govcert constitue un point de contact unique dédié au traitement de tous les incidents informatiques affectant les systèmes d’information du gouvernement et des infrastructures critiques (privées et publiques)..

Footnote footnote footnote footnote footnote footnote footnote footnote footnote footnote footnote footnote footnote footnote footnote footnote footnote footnote

x. y.
© 2024 d’Lëtzebuerger Land