LuxLeaks : une fuite de données facilitée par… Microsoft

Reynald Fléchaux,

Les données dérobées par un lanceur d’alerte à PwC Luxembourg étaient en réalité assez facilement accessibles. La faute à une « anomalie » technique sur une technologie Microsoft.

Surprise au procès des lanceurs d’alerte de l’affaire LuxLeaks, procès qui s’est ouvert le 26 avril devant le tribunal correctionnel de Luxembourg. Rappelons que trois Français y sont poursuivis, dont le lanceur d’alertes Antoine Deltour, accusé d’avoir organisé la fuite de documents fiscaux détenus par son employeur, PricewaterhouseCoopers (PwC) Luxembourg. Or, comme l’a reconnu Anita Bouvy, auditrice chez PwC depuis 2002 et chargée de l’enquête interne au sein du cabinet d’audits après la fuite, les LuxLeaks, soit la publication de centaines d’accords fiscaux secrets entre des entreprises et l’administration luxembourgeoise, résultent… d’une faille informatique. Selon l’experte, une « anomalie » a permis à des centaines d’employés de PwC d’accéder sans contrôle à ces documents pourtant hautement confidentiels. Un trou dans la raquette qu’aurait exploité Antoine Deltour pour récolter un ensemble de documents, en octobre 2010, la veille de sa démission du cabinet, avant de les transmettre à la presse.

Comme le raconte Le Monde, devant les juges, Anita Bouvy a expliqué avoir rapidement soupçonné Antoine Deltour, grâce au suivi des connexions mis en place au sein de PwC. Selon elle, ce serait le « seul à avoir eu accès à ces données sans pouvoir le justifier de par sa fonction ».  Selon PwC, la veille de sa démission, l’ex-auditeur accède à 2 669 documents entre 18h48 et 19h17. Pour les enquêteurs du cabinet, le signe qu’Antoine Deltour a copié les documents qui ont fini dans la presse.

La surprise de Microsoft qui embarrasse PwC

Mais, le plus intéressant est à venir. En effet, si accéder à ces documents n’entrait pas dans les attributions d’Antoine Deltour, pourquoi a-t-il été en mesure de le faire ? Anita Bouvy explique alors que cette bizarrerie résulte d’une « particularité » de Microsoft, inconnue des archivistes et d’elle-même jusqu’à cette enquête. « Quand on déplace des fichiers d’un répertoire accessible à certaines populations vers un autre répertoire restreint, les fichiers conservent les accès du dossier source », détaille alors l’experte. Autrement dit, les fichiers conservent leurs droits originels et n’héritent pas de ceux des dossiers dans lesquels ils sont versés. Suffisant pour ruiner tous les efforts de contrôle d’accès mis en place chez PwC visiblement. Et compliquer la tâche du cabinet d’audit dans le procès LuxLeaks, les défenseurs d’Antoine Deltour ayant beau jeu de souligner que cette faille ouvrait l’accès à un grand nombre d’utilisateurs. « Le nombre d’utilisateurs ayant eu accès à ces documents est en moyenne de 649 personnes sur deux ans – de 81 à 990 selon les documents -, et le nombre d’accès s’élève à 1 900 par document », détaille Me Philippe Penning, un des deux avocats de l’ex-auditeur cité par le site d’information Paperjam.lu. Un accès pouvant se limiter à une simple apparition du document dans un résultat de recherche, sans consultation.

La rédaction de Silicon.fr a demandé à Microsoft des détails sur cette « anomalie » technique et attend des réponses de l’éditeur. La faille technique dans le contrôle des accès chez PwC a depuis été comblée, selon Anita Bouvy.

Mise à jour le 27/04 à 17h : Dans un coup de fil à la rédaction, Microsoft précise ne pas souhaiter apporter le moindre commentaire à cette affaire et s’est refusé à préciser le produit concerné par « l’anomalie » mentionnée par la responsable de l’enquête interne de PwC.

A lire aussi :

L’évasion fiscale selon Apple, Google, IBM, Microsoft : un bilan

Cybersécurité : les 5 erreurs fatales de Mossack Fonseca