Pour gérer vos consentements :

LuxLeaks : une fuite de données facilitée par… Microsoft

Surprise au procès des lanceurs d’alerte de l’affaire LuxLeaks, procès qui s’est ouvert le 26 avril devant le tribunal correctionnel de Luxembourg. Rappelons que trois Français y sont poursuivis, dont le lanceur d’alertes Antoine Deltour, accusé d’avoir organisé la fuite de documents fiscaux détenus par son employeur, PricewaterhouseCoopers (PwC) Luxembourg. Or, comme l’a reconnu Anita Bouvy, auditrice chez PwC depuis 2002 et chargée de l’enquête interne au sein du cabinet d’audits après la fuite, les LuxLeaks, soit la publication de centaines d’accords fiscaux secrets entre des entreprises et l’administration luxembourgeoise, résultent… d’une faille informatique. Selon l’experte, une « anomalie » a permis à des centaines d’employés de PwC d’accéder sans contrôle à ces documents pourtant hautement confidentiels. Un trou dans la raquette qu’aurait exploité Antoine Deltour pour récolter un ensemble de documents, en octobre 2010, la veille de sa démission du cabinet, avant de les transmettre à la presse.

Comme le raconte Le Monde, devant les juges, Anita Bouvy a expliqué avoir rapidement soupçonné Antoine Deltour, grâce au suivi des connexions mis en place au sein de PwC. Selon elle, ce serait le « seul à avoir eu accès à ces données sans pouvoir le justifier de par sa fonction ».  Selon PwC, la veille de sa démission, l’ex-auditeur accède à 2 669 documents entre 18h48 et 19h17. Pour les enquêteurs du cabinet, le signe qu’Antoine Deltour a copié les documents qui ont fini dans la presse.

La surprise de Microsoft qui embarrasse PwC

Mais, le plus intéressant est à venir. En effet, si accéder à ces documents n’entrait pas dans les attributions d’Antoine Deltour, pourquoi a-t-il été en mesure de le faire ? Anita Bouvy explique alors que cette bizarrerie résulte d’une « particularité » de Microsoft, inconnue des archivistes et d’elle-même jusqu’à cette enquête. « Quand on déplace des fichiers d’un répertoire accessible à certaines populations vers un autre répertoire restreint, les fichiers conservent les accès du dossier source », détaille alors l’experte. Autrement dit, les fichiers conservent leurs droits originels et n’héritent pas de ceux des dossiers dans lesquels ils sont versés. Suffisant pour ruiner tous les efforts de contrôle d’accès mis en place chez PwC visiblement. Et compliquer la tâche du cabinet d’audit dans le procès LuxLeaks, les défenseurs d’Antoine Deltour ayant beau jeu de souligner que cette faille ouvrait l’accès à un grand nombre d’utilisateurs. « Le nombre d’utilisateurs ayant eu accès à ces documents est en moyenne de 649 personnes sur deux ans – de 81 à 990 selon les documents -, et le nombre d’accès s’élève à 1 900 par document », détaille Me Philippe Penning, un des deux avocats de l’ex-auditeur cité par le site d’information Paperjam.lu. Un accès pouvant se limiter à une simple apparition du document dans un résultat de recherche, sans consultation.

La rédaction de Silicon.fr a demandé à Microsoft des détails sur cette « anomalie » technique et attend des réponses de l’éditeur. La faille technique dans le contrôle des accès chez PwC a depuis été comblée, selon Anita Bouvy.

Mise à jour le 27/04 à 17h : Dans un coup de fil à la rédaction, Microsoft précise ne pas souhaiter apporter le moindre commentaire à cette affaire et s’est refusé à préciser le produit concerné par « l’anomalie » mentionnée par la responsable de l’enquête interne de PwC.

A lire aussi :

L’évasion fiscale selon Apple, Google, IBM, Microsoft : un bilan

Cybersécurité : les 5 erreurs fatales de Mossack Fonseca

Recent Posts

JavaScript : Meta bascule Jest en open source

Meta a officiellement transféré Jest, son framework de test, à la Fondation OpenJS. Celle-ci s’engage…

3 heures ago

Avec Viva Goals, Microsoft rassemble les collaborateurs autour des objectifs business

Microsoft continue d’étoffer sa plateforme Viva, dédiée à l’expérience collaborateur, en lançant Viva Goals, un…

4 heures ago

Développeurs : Google Cloud pousse Assured OSS

Google Cloud va distribuer un ensemble large de bibliothèques logicielles open source approuvées par ses…

6 heures ago

Informatique quantique : BMW renforce sa collaboration avec Pasqal

Le groupe BMW et la start up Pasqal étendent leur collaboration pour concevoir des pièces…

8 heures ago

Data et analytique : pour quel retour sur investissement ?

La croissance des revenus d'organisations dont les projets data "dépassent les attentes" est supérieure de…

1 jour ago

Mobile et systèmes industriels : les chantiers du framework ATT@CK

Passé en v11, le framework MITRE ATT@CK renforce sa matrice Mobile. Il en sera de…

1 jour ago