Le 12 septembre 2016, un Premier ministre luxembourgeois réalise pour la première fois une visite officielle en Israël. Xavier Bettel (DP) et ses collaborateurs se présentent à Jérusalem dans les bureaux du chef du gouvernement israélien, Benyamin Netanyahu. Le Premier ministre Bettel offre deux Péckvillercher à son homologue en guise de cadeau protocolaire. Les agents de sécurité israéliens demandent aux Luxembourgeois de remettre leurs téléphones portables avant d’entrer dans la salle où se tiendra la réunion pour s’assurer qu’elle ne soit pas enregistrée. À la sortie, les fonctionnaires du ministère d’État se rendent compte de la boulette. Ils informent le CTIE (Centre des technologies de l’information de l’État) que les appareils ont été laissés sans surveillance. Un émissaire récupère les téléphones à la sortie de l’avion au Findel. Il en remet une partie aux Services de renseignement (SRE) pour analyse. Tous seront mis hors-circuit. Ce lundi, une source au CTIE informe le Land que les services gouvernementaux israéliens étaient alors (en 2016) tout à fait (techniquement) capables « d’ouvrir les téléphones en une heure », durée durant laquelle ils ont été laissés sans surveillance. Le SRE refuse, lui, de répondre à la question de la présence, ou non, de logiciel espion sur les appareils rendus par les Israéliens aux membres de la délégation luxembourgeoise. Le service dépendant du ministère d’État se contente d’une réponse sybilline à nos interrogations : « Le dispositif de sécurité en amont et en aval de visites de délégations officielles à l’étranger n’est pas publié. »
Les procédures ont été codifiées depuis l’incident de Jérusalem. Le 2 juin 2017, le Conseil de gouvernement a validé la première charte de bonne conduite en matière de sécurité de l’information numérique. Dans ce document de onze pages (19 dans sa version actuelle datant de juillet 2023) réalisé par l’Agence nationale de la sécurité des systèmes d’information (Anssi), il est notamment demandé à l’utilisateur parti à l’étranger de signaler à son retour « si le matériel a été inspecté par les autorités locales ou s’il a été branché à des réseaux peu fiables ». Dans les réponses à deux questions parlementaires (en 2021 et 2024), l’on apprend en outre que les communications entre les outils (téléphones et tablettes) fournis par le CTIE et les infrastructures informatiques de l'État sont gérées via l’infrastructure centrale de gestion (MDM). Le niveau de sécurité est adapté selon la situation. Les informations sont chiffrées et liées à une authentification de l’utilisateur. Encore faut-il que l’utilisateur applique les consignes… notamment le bon usage des messageries téléphoniques. Luxchat4Gov est préconisé au Luxembourg. Mais Whatsapp, Signal ou Telegram sont-elles adaptées pour s’adresser aux homologues étrangers ? Une source ministérielle ajoute que des « burner phones » sont fournis aux membres des délégations en voyage dans les pays jugés à risque par les participants. Pour éviter de permettre l’accès aux informations stockées sur le téléphone ou, pire, aux serveurs du gouvernement.
La Chambre des députés a adopté une procédure similaire en 2022. « Quand les députés voyagent dans des régions ou pays sensibles, ils n’utilisent pas leur matériel habituel. Ils reçoivent des téléphones portables et, au besoin, des Ipads, qui ne servent que pour ces déplacements. La même règle de conduite vaut pour les agents de l’administration qui les accompagnent », communiquent les relations presse du Parlement. De retour de Chine où il a séjourné la semaine passée pour une mission parlementaire, Franz Fayot (LSAP) confirme au Land le caractère rudimentaire du téléphone qui lui a été donné. « Pas d’application. On peut à peine appeler. J’ai un peu vécu la mission comme une cure de détox », plaisante le socialiste.
Big Gun
Des membres de la commission de l’environnement de la Chambre ont été invités dans le cadre d’une « offensive de charme » menée par la Chine auprès de différentes institutions européennes. « Nous ne sommes pas naïfs, mais nous avons quand même pu voir ce qui se fait là-bas en matière environnementale, avec des installations impressionnantes », témoigne Franz Fayot. Ce dernier relève l’antinomie entre un modèle économique consumériste et l’objectif de décarbonation. Les parlementaires ont été reçus à Pékin par des hauts dignitaires nationaux, notamment la vice-ministre des Affaires étrangères et responsable des relations avec l’UE, Hua Chunying. Signe du sérieux donné par le gouvernement de l’Empire du milieu aux représentants du peuple luxembourgeois alors que les visions stratégiques de l’UE et des États-Unis divergent. Les Luxembourgeois seraient perçus « comme des petits frères », des mots de l’ambassadeur sur place repris par Franz Fayot qui relève la « bienveillance » chinoise à l’égard du Grand-Duché. Elle se traduit notamment par la présence des sièges européens de sept banques chinoises et de capitaux chinois dans des entreprises stratégiques (Encevo, Cargolux ou BIL).
Franz Fayot était aux premières loges au moment du basculement géostratégique international, quand le Luxembourg n’a plus pu impunément entretenir, à équidistance, ses relations avec la Chine et les États-Unis. Il se souvient de son call en 2020 avec le sous-secrétaire d’État à la croissance économique, Keith Krach, qui lui demandait de revenir sur la mise à contribution du groupe chinois Huawei dans l’installation du réseau 5G luxembourgeois. Alors qu’il lui demandait des éléments factuels pour étayer son volte-face dans ce dossier bien avancé avec les Chinois, le ministère de l’Économie s’est vu répondre par le représentant de Donald Trump : « I think we’re done talking ».
En 2021, lors d’une conférence organisée par l’Institut Grand-Ducal, le géopolitologue François Heisbourg confiait que le Grand-Duché ne pesait pas bien lourd dans l’échange d’informations stratégiques dans la communauté des services secrets : « Personne ne comptait sur le Luxembourg pour des renseignements. Et je ne suis pas sûr qu’on lui en confiait beaucoup par ailleurs. » Le Franco-Luxembourgeois ajoutait que le Grand-Duché avait néanmoins tout intérêt à travailler son renseignement économique, si d’aventure une entreprise pouvait « affecter l’image et les intérêts économiques du pays » (d’Land, 24.09.21). Une cellule de sécurité économique était alors montée par Frank Reimen au Forum Royal. Au même moment, dans le sillon de l’UE, Jean Asselborn (LSAP) déposait le projet de loi sur le filtrage national des investissements étrangers « susceptibles de porter atteinte à la sécurité ou à l’ordre public » (voté en juin 2023).
The New Balance of Terror
En janvier 2023, le ministre de l’Économie s’est fait bien voir par l’Oncle Sam (sous Joe Biden) lorsqu’il a montré la porte de sortie à la société Spacety Europe. Cette entité luxembourgeoise appartenant au groupe chinois (Changsha) venait tout juste d’être sanctionnée par les États-Unis. Ces derniers accusaient Spacety d’avoir fourni des images satellites de l’Ukraine à l’armée russe. L’entreprise basée au Luxembourg s’en était défendu, disant respecter les règlementations américaines et européennes : « Our products and services are all used for civil and commercial purposes and do not involve any military use », était-il notamment écrit dans le communiqué envoyé le 29 janvier. Un an plus tôt, en 2022, Spacety avait signé un partenariat avec l’Université du Luxembourg et son centre interdisciplinaire « Security, Reliability and Trust ». Un an plus tard, Spacety faisait faillite. Au même moment, le SRE écrivait dans son rapport d’activité 2022 : « Au Luxembourg, il existe au sein de l’Université et des instituts de recherche certains domaines sensibles en termes de prolifération. Dans ce cadre, le SRE est un interlocuteur des acteurs concernés. » Selon le narrarif officiel, les renseignements luxembourgeois ont été créés dans les années 1960 en marge de l’adhésion du Luxembourg à l’Otan dans un contexte d’équilibre de la terreur pour s’assurer de la fiabilité des agents associés aux enjeux de sécurité nationale. Depuis les années 2010, le SRE contrôle en sus la destination des biens et services produits au Grand-Duché.
Le Luxembourg a une place financière « démesurée » par rapport au nombre d’habitants. L’opérateur systémique Post a récemment été victime d’une attaque cyber à cause d’éléments Huawei vulnérables. Et il est de plus en plus question de défense… Est-ce que le Luxembourg est un maillon faible dans la chaîne économique internationale ? Le 12 juin, lors de l’audition de l’ambassadrice nominée pour le Luxembourg, Stacey Feinberg, devant le Sénat américain, on passe pour des « bisounours ignorants », répond Franz Fayot face au Land cette semaine. « Je ne crois pas qu’ils comprennent vraiment ce qui se passe et j’aimerais humblement les éduquer », avait dit la femme d’affaires et néo-diplomate aux sénateurs. Stacey Feinberg, qui a pris ses fonctions ce mercredi à Luxembourg, avait notamment visé l’espionnage chinois via l’institut Confucius, qui bénéficie d’un partenariat avec l’Uni.lu depuis 2018, et l’association des étudiants chinois : « Ils forment des espions qui ramènent la propriété intellectuelle en Chine. »
Lundi, un expert américain en Research Security a été présenté par l’ambassade à des représentants du ministère des Affaires étrangères, du Fonds national de la recherche et de l’Université. Le chercheur et analyste en sécurité, est venu en marge d’une conférence à Bruxelles. La diplomatie américaine souhaite taire son nom, mais il aurait participé ces dix dernières années à la prise en compte, dans le monde occidental, des problématiques de sécurité dans la recherche. « On ne doit pas laisser accéder ses ennemis à des connaissances vitales pour nos pays dans les années à venir », avance-t-il dans un entretien avec le Land. Il prône une « approche sur les risques » et un processus de due diligence dans le cadre des coopérations universitaires internationales (notamment pour savoir qui finance). L’expert signale en outre que ces « ennemis » (il préfère ne pas identifier le pays ou la région d’origine) passent par de petites universités ou de petits pays pour accéder à des champs de connaissances plus grand, éventuellement américains. Par exemple, si des axes de collaborations sont ouverts entre les États-Unis et le Luxembourg. Mais pas question de faire la leçon, prétend-il. Juste partager les « best practices » et « apprendre comment les choses sont faites ici », explique-t-il dans des locaux de l’ambassade au Forum royal (le même bâtiment que le ministère de l’Économie), sous les portraits officiels de Donald Trump, J.D Vance et Marco Rubio. Accrochés au mur également, des cadres et maquettes en souvenir des glorieux programmes spatiaux américains. L’opérateur satellites luxembourgeois, SES, finance une chaire de recherche à l’Université de Luxembourg, coopère régulièrement avec la Nasa, réalise une partie déterminante de son chiffre d’affaires aux États-Unis et offre des capacités satellitaires à l’Otan.
« Vulnérabilités incompatibles »
« Is Luxembourg the weak link in EU and Nato security ? », avait déjà interrogé The EU Observer en novembre 2023. Avec sa réforme de 2016, dans le sillon du scandale qui avait fait chuter le gouvernement Juncker, le SRE a perdu l’accès aux dossiers (la partie documentaire) des personnes fichées par la police. Mais en cherchant à limiter les pouvoirs d’enquête du service de renseignement, le législateur aurait nui à sa capacité à bien identifier les risques dans les dossiers d’habilitations sécurité dont le SRE a la charge via l’Autorité nationale de sécurité (ANS), selon un représentant du personnel. Après avoir souligné le problème (en vain) au niveau national pendant six ans, ce dernier avait cru bon, en 2022, de lancer l’alerte auprès de la contrepartie lettone du SRE.
Entretemps, le législateur luxembourgeois a fini par lui donner raison dans ses discussions sur le projet de loi réformant l’ANS, déposé en 2016 par Xavier Bettel. « Les enquêteurs ont en effet besoin de recueillir les informations contenues dans les rapports et procès-verbaux du fichier central ou ceux disponibles auprès du Procureur d’État pour s’assurer que, même en l’absence de condamnation pénale, la personne faisant l’objet d’une enquête ne présente pas des vulnérabilités incompatibles avec l’accès à des pièces classifiées », écrit le rapporteur Guy Arendt (DP) en 2023. La même année, Reporter cite un responsable des services secrets belges : « Wenn Luxemburg diese Mindeststandards nicht erfüllt, kann das schwerwiegende Konsequenzen für den Geheimdienst haben. Dann würde Luxemburg keine Informationen mehr von ausländischen Diensten erhalten. »
Mais, en janvier 2024, le nouveau Premier ministre Luc Frieden (CSV) explique que l’Otan ne reproche rien au Luxembourg en la matière (d’Land, 9.2.2024). Deux mois plus tard, il promet un nouveau projet de loi pour remplacer celui déposé par son prédécesseur… mais rien ne vient. Depuis, le représentant du personnel du SRE a été viré. Il a contesté son licenciement devant le tribunal administratif et a été débouté. Mais l’administration judiciaire refuse de communiquer la décision à la presse « sur base de la protection des données et du secret défense ». L’affaire en appel devait être plaidée le 21 octobre. Les plaidoiries ont été repoussées sine die, l’administration demandant le huis clos. Ce que conteste le représentant du personnel. Le motif de sécurité nationale obstrue la publicité de la justice, fondement démocratique. Voilà qu’il menace de ronger la liberté de la presse. La future Autorité luxembourgeoise indépendante des médias pourra retirer du contenu médiatique qui mettrait « en péril la sécurité nationale ou l’ordre public ».