Avis juridique

ChamberLeaks, fraude ou non?

13 Mars 2018 Interview par François Aulner
Pour Thierry Reisch, la morale de l’affaire des ChamberLeaks est qu’il faut mieux sécuriser les systèmes informatiques. (Photo: Julien Becker / Archives)

Dans l’affaire des fuites de documents de la Chambre révélée par Radio 100,7, l’avocat spécialisé dans les nouvelles technologies, Thierry Reisch, estime que la question principale est de savoir si oui ou non il y a eu un accès frauduleux.

On apprenait mercredi dernier que la Radio 100,7 avait eu accès à des documents de la Chambre dont certains n’étaient pas censés être publics, à cause de lacunes dans le dispositif de sécurité du site internet de l’institution. Il suffisait apparemment de modifier simplement les adresses électroniques, les URL.

Maître Thierry Reisch, étant donné que la Chambre a saisi le Parquet, selon vous, vers où se dirige cette affaire?

«Tout d’abord, il faut se poser la question de la sécurité du site internet de la Chambre. Ensuite, il faut aussi se demander qui a eu accès à ces documents et comment. L’accès était-il libre ou était-il frauduleux?

Si l’accès était libre, tout un chacun aurait pu consulter les documents sans manipuler spécialement le navigateur. Si on a dû modifier quelque chose dans le navigateur ou utiliser un autre logiciel, alors on se situe dans l’article 509, alinéa 1 du Code pénal, qui incrimine quiconque aura frauduleusement accédé ou se sera maintenu dans tout ou partie d’un système de traitement ou de transmission automatisé de données.

Cet article prévoit des peines d’emprisonnement de deux mois à deux ans, et une amende de 500 à 25.000 euros.

Où commence donc cet aspect frauduleux de l’accès à ces documents, si l’on pense à ces technicités du numérique qui existent? Est-ce qu’on peut qualifier de frauduleux le fait d’ajouter ou de supprimer une lettre dans une URL?

«Pour moi, un accès est libre pour tout ce que l’on visionne sur un site internet par le curseur qu’on utilise. Du moment qu’on modifie quelque chose dans le navigateur, on est déjà un peu hors de la légalité. Normalement, on parcourt la page et on clique sur ce qu’on veut lire ou éventuellement télécharger. Tout le contenu qui n’est pas directement accessible et pour lequel il faut utiliser le navigateur ou un logiciel ne fait plus partie de ce qui est libre.

Dans le contexte de ces ChamberLeaks – des fuites à la Chambre –, on a évoqué la métaphore de la porte ouverte. Mais dans ce cas-ci, est-ce que la porte était seulement ouverte, ou les documents se sont-ils carrément «retrouvés dans la rue»?

«Retrouvés dans la rue, non. Car il fallait quand même faire un petit effort intellectuel, matériel et informatique. Pour utiliser une autre métaphore, prenons celle d’une voiture sur laquelle le propriétaire a laissé la clé sur le démarreur. Vous savez que vous n’avez pas le droit d’entrer dans la voiture, de vous asseoir dedans, de fermer la portière et de partir avec. Ce n’est pas votre voiture et vous serez qualifié de voleur de ce bien matériel.

Compte tenu des lacunes dans le dispositif de la Chambre, étant donné qu’un correctif avait été probablement effacé par erreur, la Chambre n’aurait-elle tout de même pas incité au délit?

«Incité, peut-être pas. Mais évidemment, on peut se demander si un parlement – qui est tout de même une des plus importantes institutions d’un État – ne devrait pas se doter d’un site internet ou d’un système informatique sécurisé comme il se doit.

L’autre question est de savoir quels documents ont été visionnés ou téléchargés, et est-ce que ces documents avaient leur place sur un site qui est branché à un câble ouvert vers le réseau et vers l’extérieur.

Je pense que non, car certains ordinateurs ou serveurs ne devraient pas être liés à internet. Je l’ai d’ailleurs toujours souligné lors de conférences auxquelles j’ai participé. Une partie des données doivent être sur un serveur hors ligne et pour les documents qu’on veut éventuellement diffuser, on peut les mettre sur des ordinateurs ou serveurs en ligne.

Les consommateurs, les entreprises et l’État devront prendre leurs responsabilités.

Maître Thierry Reisch, avocat

Le rédacteur en chef de Radio 100,7, Jean-Claude Franck, expliquait jeudi dernier sur RTL que la radio, dans une approche journalistique, traitera les documents dans l’intérêt public. Comment, selon vous, cette affaire se range-t-elle dans celles des lanceurs d’alerte qu’on a connues au cours des dernières années?

«Le journaliste fait son travail. Il y a toujours un côté positif dans toutes ces affaires: dans ce cas-ci, le site de la Chambre sera désormais sécurisé. Je me souviens d’affaires similaires comme celle avec le site du Centre commun de la sécurité sociale et, bien sûr, LuxLeaks.

On est en train de voir de plus en plus ce genre d’affaires, car l’informatique prend de plus en plus d’ampleur, notamment avec la blockchain, les bitcoins et les transferts monétaires virtuels, et tout cela. Ce qu’il y a de positif, c’est que, selon moi, cela provoque des prises de conscience que la sécurité doit être à jour.

Par ailleurs, il y a la protection des données, avec la nouvelle loi qui doit arriver en mai (le règlement européen sur la protection des données, ndlr) mais qui est encore très nébuleuse. Les consommateurs, les entreprises et l’État devront prendre leurs responsabilités. Le consommateur aussi, en ce qui concerne Facebook, où tout le monde peut se mettre à nu devant le monde entier, devra en assumer les conséquences.

Cette idée pourrait aussi jouer un rôle dans cette affaire de la Chambre des députés. Est-ce qu’on ne s’est pas un peu tiré nous-mêmes une balle dans le pied? Si évidemment on laisse un tas de billets devant la porte, c’est peut-être légitime que le journaliste prenne l’argent et rédige ensuite un article pour avertir l’intéressé qu’il a laissé son argent sans garde. ‘Bien sûr, je vais vous le rendre, mais je dois vous rendre attentif au fait que votre argent était devant la porte’ en quelque sorte.

Au fait que vous étiez insouciant?

«Voilà. Insouciant et inconscient. C’est pourquoi, si cette affaire finit un jour devant une juridiction, évidemment le juge prendra tous ces éléments en compte. Il ou elle les posera sur une balance et on verra où cela aboutira.

La radio a expliqué qu’après avoir constaté que des documents qui n’étaient pas supposés être publics l’étaient, et avant de publier l’affaire, elle avait averti la Chambre. Les journalistes ont donc agi avec prudence et précaution…

«… et une conscience professionnelle. Ils n’ont pas publié ce qu'ils ont pu lire. Le journaliste doit respecter un Code de déontologie, aucun dommage n’a été causé. C’est la première chose qu’un juge regarderait le cas échéant et s’il n’y a pas eu de dommage, une infraction se minimise.

Avec le monde qui change et l’informatique qui, pour les uns, est omniprésente et, pour les autres, non, il faut que les entreprises chargent réellement des spécialistes de la sécurité de leurs systèmes. C’est un peu cela la morale de l’histoire.»

Thierry Reisch est l’auteur en outre de l’ouvrage «Internet et les nouvelles technologies de l’information et de la communication face au droit luxembourgeois» paru chez Maison Moderne.