Le hacker du CHPG devant la justice

Anne-Sophie Fontanet
-

L’ancien informaticien du centre hospitalier Princesse Grace a reconnu devant le tribunal correctionnel être l’auteur de deux attaques informatiques le 8 janvier, puis le 15 juin 2016. Il risque 12 mois de prison avec sursis. Délibéré attendu le 6 juin.

Blessé, mais pas anéanti. C’est le message que le Centre hospitalier Princesse Grace (CHPG), à travers son conseil Me Alexis Marquet, a voulu marteler. Le 8 janvier et le 15 juin 2016, le système informatique de cet établissement monégasque subissait deux attaques. La première, en début d’année, serait presque passée inaperçue face à la déflagration engendrée par la seconde, le 15 juin 2016. Ce jour-là, un fichier contenant les données personnelles de tous les employés de l’hôpital est envoyé à tous les conseillers nationaux, à des journalistes (Monaco Hebdo, L’Observateur de Monaco et Monaco Matin notamment), mais aussi à des agents du fisc français, ainsi qu’à l’ensemble des 2 696 salariés du CHPG. Le fichier contient les noms, prénoms, situation personnelle et salaire de chacun. Et provoque immédiatement un tollé. « Tension, défiance, insécurité… Il a fallu gérer cet émoi légitime », rappelle Me Alexis Marquet. Les premières suspicions créent une ambiance exécrable… La transmission du document tombe au plus mal, la veille d’une grande mobilisation syndicale des personnels de l’hôpital.

Vengeance

Finalement, les enquêteurs remontent jusqu’au responsable de ce piratage ingénieux. C’est un ancien employé, C.B., âgé de 31 ans au moment des faits qui, après sa non-titularisation comme informaticien, a décidé de se venger. D’allure fluette, il fait pourtant face à ses accusateurs et reconnaît l’ensemble des faits reprochés. Et s’en explique même avec clarté, calme et sans aucune empathie. « C’était dans un sentiment d’injustice vis-à-vis de la fin de mon contrat. » Malgré ses qualités techniques, sa responsable directe lui reproche un manque d’intégration au sein de l’équipe. Son départ, en octobre 2015, lui reste en travers de la gorge. Il macère, rumine et se forme pour sa vengeance. Car l’ironie de l’histoire veut que ce soit grâce à la compensation financière du CHPG obtenue à l’issu de son contrat qu’il pourra payer la formation pour acquérir encore plus de compétences. Un apprentissage qui lui permettra de commettre ces piratages informatiques. Son idée première : créer une gêne et faire tomber le dysfonctionnement sur le service informatique. « Je voulais qu’une part de responsabilité importante soit attribuée à la chef » résume-t-il.

« Agression préméditée »

Présente à l’audience, cette femme est marquée par l’épisode. « Ça a touché mon honneur. Les gens m’ont sauté au cou… J’ai hâte que ça se termine. » C’est bien elle la première victime de C.B.. Elle en paie les conséquences et quittera ses fonctions en juillet 2017 par le biais d’une retraite anticipée, trois ans avant le délai légal. Elle demande 100 000 euros de dommages et intérêts. A côté d’elle se trouve un ancien chef du prévenu, lui aussi désemparé et incrédule. Il a été suspecté par la police, avant d’être blanchi. Mais le mal est fait. Dos au prévenu, il explique la trahison qu’il a ressentie, lui qui défendait systématiquement C.B. devant la responsable. Il insiste aussi pour rappeler à la cour l’histoire de cet autre collègue, suspecté et placé en garde à vue, « qui a failli se suicider après cet épisode douloureux ». Me Alexis Marquet parle d’une « agression préméditée pour faire le plus grand mal au plus grand monde possible. » Pour l’atteinte à l’image du CHPG indéniable, il réclame 2 696 euros de dommages et intérêts correspondant au nombre exact de salariés impactés par l’affaire. « Vous ralentissez un hôpital ! Vous ralentissez l’exercice des praticiens et vous nuisez aux patients. Ils ne vous ont rien fait ces gens-là », s’emporte son confrère, Me Olivier Marquet, avocat du syndicat des praticiens hospitaliers. N’oubliant pas de préciser qu’aucune donnée médicale n’avait été divulguée. « Ce n’est pas le procès du CHPG, ni des systèmes informatiques. Bien évidemment qu’il y a des failles dans les systèmes… Il n’en demeure pas moins que c’est la recherche de celle-ci qui est condamnable », recentre le procureur adjoint, Hervé Poinot. « Rendre un système inviolable, aujourd’hui, c’est impossible. Le principal facteur de compromission, c’est l’être humain », appuie Jean-Philippe Noat de l’Agence monégasque de sécurité numérique. Appelé par la police, c’est lui qui a « préservé les preuves numériques » et déniché le fichier incriminé parmi 35 000 contenus dans l’ordinateur du prévenu.

Dark web

Défendue par Me Sophie Lavagna, le trentenaire raconte ses symptômes psychiatriques et les nombreux anxiolytiques qu’il prend depuis de longs mois. « Il était dans un grave état dépressif. Sur quatre ans au CHPG, il a été en arrêt maladie presque cinq mois. » Des parents divorcés depuis ses 3 ans, une personnalité introvertie mais brillante et l’impossibilité pour lui de trouver sa place expliquerait en partie cette lente et consciencieuse vengeance. « Cette personnalité tourmentée et fragile se prend pour un lanceur d’alerte, mais avec des motivations personnelles, met plutôt en avant le procureur adjoint Poinot. Ce qui me frappe, c’est le temps de maturation et de préparation de ces attaques. A aucun moment, il n’a l’idée de se dénoncer. » Interrogé par le président Jérôme Fougeras-Lavergnolle sur ce point précis, le jeune homme se souvient de son inaction totale après les attaques. « Je me morfondais seul chez moi. J’étais dans un sentiment de honte, de culpabilité et d’angoisse. » Les conséquences de « cette haine irrationnelle et obsessionnelle » sont importantes pour le CHPG. En plus de l’aspect humain, 650 postes informatiques contaminés ont dû être réparés. Ce qui pousse le procureur adjoint à réclamer à son encontre 12 mois de prison avec sursis, et cinq ans de liberté d’épreuve, avec obligation de rembourser les victimes et 5 000 euros d’amende. Des réquisitions en forme d’avertissement contre ce hacker en herbe qui ne doit pas croire que ces actes sont une médaille à « ériger sur le dark web. Il faut qu’il fasse le choix du bon côté. Qu’il utilise ses connaissances pour protéger ou aider et pas pour nuire », ajoute le procureur. Comme c’est l’usage, c’est le prévenu qui a pris la parole en dernier : « Je mesure le gâchis immense et j’en prends la responsabilité. » Le délibéré sera rendu le 6 juin.

 

journalistAnne-Sophie Fontanet