Le médecin versa une noix de gel hydroalcoolique du distributeur et s’en frotta les mains avec application. Il s’installa ensuite sur un fauteuil réglable derrière le vaste meuble qui emplissait la moitié de la pièce minuscule, m’invita à m’asseoir sur une chaise à dossier dur, prit un flacon d’aérosol dans un tiroir et en aspergea les deux écrans et le clavier de son ordinateur. À l’aide d’une peau de chamois propre, qu’il tira d’une poche de sa blouse, il frotta consciencieusement le premier écran qui était tourné de biais dans ma direction, l’écran s’alluma sur un paysage de fond marin relaxant, et une musique d’ambiance atmosphérique sortit des haut-parleurs; il nettoya ensuite le deuxième écran qui lui faisait face: le reflet d’un rectangle bleu brillant apparut sur ses lunettes, il arrêta son geste et tapa de la main gauche une séquence de six caractères. Je touchai le lobe de mon oreille droite et le dispositif d’écoute de l’oreillette amplifia le tactac du clavier. Avec un peu d’entraînement j’arrivais à suivre le tracé des doigts sur un clavier grâce aux intervalles de dixièmes de seconde séparant les touches. Le pattern était facile à identifier. Premier mauvais point de mon enquête, son mot de passe système était azerty, pas 123 456, car la touche majuscule n’avait pas été enfoncée, un utilisateur paresseux de plus me suis-je dit, mais surtout, déjà, un indice significatif sur l’absence d’une politique de contrôle des mots de passe faibles dans l’entreprise. Quelle entreprise au fait? J’étais dans un gros centre hospitalier de province, à L., et cette affaire se passait à l’époque de l’enlisement de la guerre, avant les gros chocs des années trente.

Par la fenêtre du bureau j’observais les blocs fonctionnels du bâtiment principal de l’hôpital, architecture brutaliste du siècle dernier, sans grâce, grise dans un ciel gris. Plus loin, je pouvais distinguer l’entrée de la chaussée qui menait aux urgences. Une ambulance était justement en train d’arriver à fond, elle disparut de ma vue, happée par le complexe. Des blouses bleues s’agitaient sur le parking. Je pensais: c’est par là que le patient a dû arriver, le patient dont la famille, une famille influente de la région, m’avait mandaté pour comprendre ce qui s’était passé. Le médecin avait fini de nettoyer les écrans, il passait le fil du chamois trempé dans le liquide désinfectant entre les rangées des touches du clavier et, pendant qu’il ramassait les miettes d’un sandwich, les cils, des fragments de peau, des poils de nez, des poussières, il parlait de maladies nosocomiales, des souches de bactéries résistantes aux antibiotiques les plus puissants – sauf à ceux de la classe Z, Dieu merci, mais ceux-là sont fabriqués en Russie et font l’objet d’un trafic juteux pour entrer clandestinement à l’Ouest, et du fléau du staphylocoque doré, une pestilence digne des grandes épidémies historiques.

— Que pensez-vous de la peste justinienne?

Il meublait la conversation, et sans attendre de réponse de ma part, il poursuivit:

— Elle mit fin au monde antique, ce ne sont pas les Barbares, c’était Yersinia pestis! conclut-il avec emphase en appuyant sur la touche Enterdu clavier. J’ouvre le dossier du patient à l’instant…

Le médecin déposa alors ses lunettes d’écailles, retourna la peau de chamois et s’appliqua longuement à frotter les verres bombés. Il était myope, son regard flottait mollement dans la pièce pendant qu’il poursuivait son soliloque sur la chute de l’Empire romain.

Il était temps que j’attaque frontalement.

— Savez-vous pourquoi je suis ici?

— Évidemment! Le centre hospitalier de L. a fait appel à votre société pour un audit de sécurité. Bien que je n’en saisisse pas le motif. Je veux dire…

Le médecin se leva de son siège, s’approcha de la fenêtre et, me tournant le dos, poursuivit:

— Que savez-vous des effets de cette guerre sur le fonctionnement de nos services? Qu’est-ce que les gouvernements font pour nous depuis des années, et des années?

Il se retourna:

— Cela ne vous dérange pas si je fume?

— Faites comme chez vous.

— Vous allez me noter pour cela? La cigarette, ce n’est pas très sérieux pour un représentant du corps médical, nous devons donner l’exemple à la population…

— La PPS n’est pas mon rayon, je laisse cela à d’autres superviseurs, et je n’en ferai rien, si cela peut vous rassurer.

— La PPS?

—Personal and Physical Security. Mon rayon c’est l’Information Technology.

— Oui, l’IT, je sais, mon fils aîné passe son PhD sur le Deep Learning. Je n’y comprends rien. Sinon que nous tous, nous tous je vous dis, nous sommes sur la voie de l’obsolescence.

Il pointa la cigarette dans ma direction:

— Sauf vous et vos pairs, naturellement. Vous êtes un as paraît-il. Oh! Et puis au diable cette cigarette!

Il la froissa entre ses doigts et la jetta dans la corbeille à papier.

— Au diable aussi cette peau de chamois!

Elle suivit le parcours de la cigarette. Je sortis une clé USB de la poche intérieure de mon trench-coat crème et la lui tendit:

— Auriez-vous l’obligeance d’insérer cette sonde dans votre ordinateur, Docteur?

— De quoi s’agit-il?

— Un logiciel espion de notre fabrication, il va m’informer sur ce que j’ai besoin de savoir.

— Aussi simplement que… cela, dit-il en regardant la clé au logo de ma société — deux serpents entrelacés. Amusant, le caducée. Vous êtes médecin vous aussi?

— Vous n’êtes pas sans savoir qu’il est confondu, à tort, avec le bâton d’Esculape… Mais, oui, en un sens, je diagnostique et corrige, parfois, les maladies de nos fluides électroniques. Le caducée est le symbole d’Hermès, considérez plutôt mes services comme ceux d’un messager.

— Je fais confiance aux dieux de l’Olympe…

La clé fut insérée dans un port USB de l’ordinateur et le programme d’autoactivation se mit au travail. Je pris mon téléphone et lançai l’application de traçage. Deuxième mauvais point de mon enquête: aucun dispositif de blocage des sources physiques d’intrusion sur les ordinateurs de bureau du médecin. “Ces gens vivent au Moyen-Age de la sécurité informatique”, pensais-je, pendant qu’une autre voix intérieure me disait: “Cela te facilite la vie en ce moment, vite fait, bien fait!” Je poursuivis:

— J’aurais deux mots à dire à votre directeur de l’IT. Vous savez où il est ?

— Nous dépendons des services généraux de la région. Je ne sais pas qui c’est. Voyez avec le directeur adjoint.”

Un autre pattern se mettait en place dans ma tête: priorité aux réductions des coûts, absence d’investissements sérieux, personnel démoralisé, voire cynique. Des signaux qui préluderaient à d’autres chutes, à d’autres effondrements impériaux, comme nous allions l’apprendre plus tard, pas trop tard, bientôt en fait.

— Cela ne devrait plus prendre beaucoup de temps. Mon agent est à présent infiltré dans votre réseau, il fait un audit de vos vulnérabilités, des failles de vos logiciels. Il est très performant. Je vois la carte de votre réseau et différentes alarmes s’allumer déjà sur mon portable.

Je lui montrai l’écran de mon téléphone où un plan dynamique du réseau informatique de l’hôpital était en train de se construire. La carte partait dans plusieurs directions.

— L’écran du téléphone est trop petit, j’envoie le plan du réseau sur votre ordinateur. Vous permettez?

Sans attendre sa réponse, je lançai l’affichage du téléphone vers son propre écran et, pendant que je montrais les différentes couches du réseau, balayant l’écran de mon portable qui était synchronisé avec son poste de travail, je tapotai une fois de plus le lobe de mon oreille droite. Sur un canal de communication séparé, crypté, le logiciel espion me communiquait directement les résultats les plus significatifs de l’enquête: je l’avais configuré avec la voix et le style de Sean Connery. “Old Chap! Tu me remercieras avec une bouteille de cet excellent whisky tourbé Talisker Dark Storm lorsque je serai sorti de ce panier de crabes. Jamais vu un réseau aussi pourri. Entre nous, cette mission est trop facile, je n’ai même pas dû trop forcer l’entrée des serveurs et trouver le mot de passe root.”

Les premières observations de Sean Connery confirmaient évidemment mes soupçons: cet hôpital, ou du moins, ses infrastructures IT partaient à vau-l’eau. Je repris la conversation avec le médecin:

— J’aimerais maintenant que vous me racontiez ce que vous savez de l’incident du patient D.

— Ah! Quel malheur! L’espoir de notre région. Le jeune député prometteur dont tout le monde ici disait qu’il allait monter à la direction de la Région, voire plus tard du pays! Je ne m’en remettrai jamais. Une telle erreur médicale! Car il s’agit bien d’une erreur, une faute impardonnable…

— Je vous en prie, veuillez préciser ce qui s’est passé.

— Comme vous le savez d’après les rapports de police, le véhicule de D. a glissé sur une plaque de verglas alors qu’il traversait la forêt de R. pour rentrer chez lui. Il revenait de la capitale, bien sûr il n’aurait pas dû rouler à la nuit tombée, mais c’est un enfant du pays, il connaît la région comme sa poche. Bref, on nous l’amène rapidement aux urgences grâce à un fermier qui avait été alerté par le bruit. Il saignait beaucoup. Il fallait transfuser. Rien que de très banal.

Le médecin sortit une autre cigarette de son blouson et sans attendre, l’alluma. Il poursuivit:

— Après avoir consulté le dossier médical, l’infirmière-chef commanda les sachets de sang et la transfusion se passa dans de bonnes conditions. La plaie fut refermée, et le patient fut mis en chambre d’observation…

— Sauf que…

— Oui, une demi-heure plus tard il était mort. Embolie gazeuse résultant d’un choc anaphylactique.

— Lui-même résultant…

— D’une erreur de transfusion sanguine. Son dossier disait qu’il était du groupe O+. Il pouvait par conséquent recevoir du sang O+.

— Sauf qu’il n’était pas du groupe O+.

­— Il était du groupe O — et par conséquent…

— N’aurait dû recevoir du sang que venant de son propre groupe: O — .

— Un signe de différence dans son dossier médical… Une erreur tragique!

Je conclus la conversation, car j’avais vu le signal de Sean Connery indiquant la fin de l’audit. C’était bien ce que je pensais. Un beau hack. Isolé ou pas? Il faudrait rassembler encore de la data, mais surtout, quelles avaient été les conséquences, toutes les conséquences, de ces multiples failles de sécurité, pas seulement pour le jeune député brillant, mais pour combien d’autres?

— Je dois vous poser encore une ou deux questions et ensuite j’en aurai terminé.

— Comment, si vite? Avez-vous déjà terminé l’enquête?

­— Mon agent a bien travaillé. Première question: si je vous dis intégrité des données, ça vous parle?

— Je suppose que vous parlez de la fiabilité des informations du dossier des patients. Eh bien, je dirais que nos informations proviennent des sources centrales du ministère de la Santé, elles sont copiées vers le réseau hospitalier de la Région, qui dépend comme vous le savez d’un autre ministère, de deux ou trois en fait, ce n’est jamais très clair dans ce pays.

— Une fois que les données du service central arrivent chez vous, qu’est-ce que vous en faites?

— Je ne m’occupe pas des données! J’ai autre chose à gérer dans un hôpital, vous ne croyez-pas?

— Bien entendu, c’est la responsabilité de l’IT. Il est où d’ailleurs le directeur informatique?

— Je ne sais pas. Allez au diable!

— Deuxième question: si je vous dis protection des données médicales, vous en pensez quoi?

— Mais là nous faisons très attention, les dossiers sont confidentiels, nous veillons à ce que le personnel en sache le moins possible sur la vie privée de nos malades.

Ce médecin interprétait d’une façon très limitée à mon goût, la réglementation sur la protection des données. Il s’en tenait au registre de la confidentialité, personne ne lui avait sans doute expliqué en quoi consistait la protection complète des informations, certainement pas le responsable de l’IT d’ailleurs. Il était temps que je lui explique quelques points de détails.

— Je vais vous dire ce qui s’est passé. Votre base de données a été attaquée par un hacker, même pas très malin à mon avis, votre réseau est tellement pourri qu’un script kiddie arriverait à y entrer, juste en poussant un peu la porte d’entrée, sans compter toutes les autres portes.

— Vous me parlez chinois; un quoi vous dites?

— Un gamin, n’importe qui dans notre jargon, quelqu’un qui se contente d’utiliser des scriptsécrits par les hackers sans comprendre de quoi il en retourne.

— Admettons. Et il a fait quoi alors, ce gamin?

— C’est là où cela tourne mal pour vous. L’intrus s’est amusé à bidouiller un peu au hasard les données des registres de vos patients, modifiant un nom par-ci, une référence par-là…

— Attendez! Je vous ai dit que nous copions les données du Ministère de la Santé, vous n’allez pas prétendre que… C’est leur responsabilité que je sache!

— Oui, je ne vous dis pas le contraire, mais qui est encore responsable de quoi que ce soit? Vous l’avez dit vous-même. En attendant, les données sont chez vous, ici, enfin, pas forcément physiquement dans ces bâtiments, mais peut-être chez un hébergeur dans la région, peu importe, les données sont sous votreresponsabilité. En tant qu’établissement de soins de santé, votre devoir est de contrôler à tout prix l’intégrité de ces données. Vous comprenez?

Je crois qu’il prenait la mesure du problème. Comptait-il les conséquences des multiples manquements en euros de dommages, de pénalités, de mise en conformité, ou pensait-il aux patients dont il avait la charge? Je n’aurais su le dire à ce moment-là. Il se tortillait sur son siège, la mine de plus en plus défaite. Il demanda alors:

— Que s’est-il passé dans la base de données?

— Dans le cas du patient D., une simple substitution de caractère dans le registre du groupe sanguin, un “— ” modifié en un “+”… mais Dieu sait combien d’autres modifications passées inaperçues dans vos systèmes, et combien d’autres erreurs médicales passées sous le tapis!

Je me redressai. Le médecin était enfoncé dans son fauteuil pivotant, la cigarette sur le point de s’éteindre posée dans le cendrier, le regard perdu derrière ses grosses lunettes de myope. Au-dehors, le ciel s’était obscurci. Il ne se leva pas pour m’accompagner vers la sortie, il eut le temps de dire:

— Nous vivons vraiment La Fin de l’Empire romain!

Je ne savais pas si je devais rire ou pleurer.