L'essentiel Online: Comment avez-vous fait pour accéder aux données des 49 000 dossiers médicaux?
La Commission de protection des données enquête
La Commission nationale pour la protection des données (CNPD) mène actuellement une enquête pour comprendre l’origine de la faille et comment le leaker a pu avoir accès au mot de passe protégeant les données sensibles de 49 000 dossiers médicaux.
C’est ce qu’a confirmé le président de la Commission, Gérard Lommel, contacté vendredi par «L’essentiel Online». «Il est inquiétant de constater qu’il suffit de connaître un mot de passe pour accéder à distance à ces données sensibles.»
Face à environ 15 à 20 000 bases de données d’entreprises et d’institutions publiques du Luxembourg, la Commission n’est pas en mesure de contrôler si toutes les mesures de sécurité sont bien appliquées. (ks)
Ce que dit le ministère de la Justice
Quand est-ce que le mot de passe a été volé? À qui le leaker a-t-il révelé la faille? Est-ce qu’il peut être garanti que le leaker n’a pas copié les contenus de la base de données? Est-ce que les personnes concernées (49 000) par cette faille peuvent être certains que leurs données ne seront pas divulguées?
À toutes ces questions le ministère de la Justice contacté par «L’essentiel Online» a une réponse, et une seule: «C’est ce que révélera l’enquête». (ks)
Quelles sont les sanctions pénales encourues par le leaker?
La sanction pénale encourue par un leaker au Luxembourg n’est pas exactement fixée, rapporte Henri Eippers, porte-parole du parquet contacté par «L'essentiel Online». S’il s’agit de piraterie Internet, la sanction encourue peut aller de de deux mois à deux ans d’emprisonnement assortis d’une amende de 500 à 12 500 euros. Sinon, il pourrait s'agir d'un vol (de mot de passe).(jmh)
Leaker: Je n’ai rien hacké, il s’agissait d’un leak, d’une faille. J’ai trouvé le mot de passe. Imaginez-vous par exemple que monsieur le ministre gare sa Rolls Royce devant la gare, qu’il laisse la porte ouverte et les clés sur le contact.
Et comment avez-vous trouvé le mot de passe?
Un pur hasard. J’étais en train de passer un examen médical au centre médicosportif. Ils m’ont laissé attendre seul dans une pièce. C’est alors que j’ai vu le mot de passe sur un post-it collé à l’écran de l’ordinateur, comme probablement des milliers de clients avant moi. Je l’ai essayé, et cela a fonctionné. Je n’ai jamais eu l’intention de me rendre au centre médicosportif dans le but de hacker une base de données.
Qu’est-ce que vous avez fait des données?
Je n’ai pas fait de copies des données, juste une capture d’écran. Si on reprend l’image de la Rolls Royce du ministre laissée devant la gare, je me suis contenté de m’asseoir dedans, et j’ai admiré le tableau de bord. Ensuite j’ai respecté les règles et j’ai prévenu les institutions compétentes de l’État. Celles-ci m’ont confirmé la réception de mon message. Ensuite j’ai laissé 13 jours au gouvernement pour refermer la faille avant de rendre l’information publique.
Le ministre de la Justice François Biltgen a réagi. Une enquête a été ouverte et vous encourez des sanctions pénales. Que pensez-vous de cette réaction?
Le gouvernement a réagi de façon un peu extrême, avec l’enquête ils ont sorti la grosse artillerie. Il aurait été plus honnête de leur part d’avouer qu’il ne maîtrisait pas l’information qui leur avait été donnée. Bien sûr je n’estime pas mériter une récompense. Sachant tout de même que des sites comme Facebook ont l’habitude de le faire. En effet celui qui découvre une faille de sécurité sur ce réseau social et qui les en informe reçoit 500 Dollars (390 euros). Lorsque la faille est colmatée il a ensuite le droit de la révéler au public.
Que pensez-vous de votre action après coup?
Tout n’a pas été parfait. Parfois, pour faire bouger les choses il faut prendre des risques. Mais je suis toujours convaincu d’avoir fait ce qui devait être fait et que ce n’est moralement pas répréhensible. J’ai agi au nom de la sécurité des données sensibles.
Ces données sont-elles maintenant mieux protégées?
Je n’ai pas été le vérifier. D’après les sources officielles il n’y a eu qu’un changement de mot passe pour l’accès à la base de données. Mais cela ne change rien au problème, car tant que celle-ci sera accessible sur Internet, une faille sera toujours possible. Des bases de données avec des informations aussi sensibles, comme par exemple ces dossiers médicaux, ne doivent en aucun cas être mises en ligne aussi simplement. Il y a bien d’autres possibilités, comme l’Intranet Health Net, sur lequel sont stockés des dossiers médicaux.
Connaissez-vous d’autres bases de données avec des failles similaires?
Si c’est possible avec une base de données, cela le sera avec toutes les autres. Pensez par exemple à Scolaria à laquelle on accède par le site myschool, dans le domaine de l’éducation scolaire et qui regroupe toutes les informations sur les élèves. Il suffit qu’un enseignant révèle, volontairement ou par mégarde, le mot de passe, et tout devient accessible. Il faut au moins protéger les données par des systèmes de sécurité comme Luxtrust.
Vous avez pris beaucoup de précautions pour rester anonyme. Pensez-vous devoir craindre les conséquences juridiques de vos actes?
Je ne sais pas, on verra.
Propos recueillis par Sarah Brock/L'essentiel Online
Vous venez de publier un commentaire sur notre site et nous vous en remercions. Les messages sont vérifiés avant publication. Afin de s’assurer de la publication de votre message, vous devez cependant respecter certains points.
«Mon commentaire n’a pas été publié, pourquoi?»
Notre équipe doit traiter plusieurs milliers de commentaires chaque jour. Il peut y avoir un certain délai entre le moment où vous l’envoyez et le moment où notre équipe le valide. Si votre message n’a pas été publié après plus de 72h d’attente, il peut avoir été jugé inapproprié. L’essentiel se réserve le droit de ne pas publier un message sans préavis ni justification. A l’inverse, vous pouvez nous contacter pour supprimer un message que vous avez envoyé.
«Comment s’assurer de la validation de mon message?»
Votre message doit respecter la législation en vigueur et ne pas contenir d’incitation à la haine ou de discrimination, d’insultes, de messages racistes ou haineux, homophobes ou stigmatisants. Vous devez aussi respecter le droit d’auteur et le copyright. Les commentaires doivent être rédigés en français, luxembourgeois, allemand ou anglais, et d’une façon compréhensible par tous. Les messages avec des abus de ponctuation, majuscules ou langages SMS sont interdits. Les messages hors-sujet avec l’article seront également supprimés.
Je ne suis pas d’accord avec votre modération, que dois-je faire?
Dans votre commentaire, toute référence à une décision de modération ou question à l’équipe sera supprimée. De plus, les commentateurs doivent respecter les autres internautes tout comme les journalistes de la rédaction. Tout message agressif ou attaque personnelle envers un membre de la communauté sera donc supprimé. Si malgré tout, vous estimez que votre commentaire a été injustement supprimé, vous pouvez nous contacter sur Facebook ou par mail sur feedback@lessentiel.lu Enfin, si vous estimez qu’un message publié est contraire à cette charte, utilisez le bouton d’alerte associé au message litigieux.
«Ai-je le droit de faire de la promotion pour mes activités ou mes croyances?»
Les liens commerciaux et messages publicitaires seront supprimés des commentaires. L’équipe de modération ne tolérera aucun message de prosélytisme, que ce soit pour un parti politique, une religion ou une croyance. Enfin, ne communiquez pas d’informations personnelles dans vos pseudos ou messages (numéro de téléphone, nom de famille, email etc).
Les commentaires les plus populaires
Les derniers commentaires
Consultez nos annonces immobilières sur le site de L'essentiel
dénoncer ce commentaire
C'est l'Etat Juncker. Il demande à ses fonctionnaires d'introduire des mots de passe pour accéder aux systèmes d'information de l'Etat, et combien utilisent des lettres identiques ou semblables à leur codes privés, pouvant permettre au service de renseignement de Juncker d'accéder aux ordinateurs privés, alarme et cartes bancaires des fonctionnaires.
Ils accèdent aux ordinateurs, même privés, des fonctionnaires ? On s'en fout royalement. Qu'ils s'introduisent aussi dans ceux des fonctionnaires européens!
Moi, mes mots de passes, je les écris à la face arrière du post-it collé à l'écran.
Les autorités prendront conscience que la sécurité informatique n'est pas seulement vrai lors de meeting ou autre réunion entre professionnel. Il est grand temps que les mentalités changent et que la sécurité soit prise au sérieux et soit appliquée. Cela évitera peut être que certain s'amuse!!!
Moi je virerais l'auteur du post it pour faute lourde. Ca lui apprendrait a respecter les consignes de l' IT.
Et le responsable informatique ??? Et la direction ??? c'est à eux de mettre en place de vrais politiques de sécurité... Et bien entendu de les vérifier...
l'auteur du post-it a voulu que l'on trouve cette faille de sécurité
Même si ce qu'a fait ce monsieur ne mérite pas la croix du mérite, il n'en reste pas moins que les questions de confidentialité sont parfois traitées chez nous avec beaucoup de légèreté. Un simple mot de passe pour protéger des informations médicales accessibles via internet, c'est du travail d'amateur! Cela devrait être interdit de mettre en place de tels systèmes!