Après la panne de 24 heures mi-décembre, les représentants de LuxTrust ont présenté leur plan d’action devant la Commission de l’Économie. Le ministre Lex Delles a pointé une communication de crise «insuffisante» et confirmé que l’État est en contact avec d’autres fournisseurs d’authentification.

Les députés ne sont pas passés par quatre chemins ce jeudi 5 février lors de la réunion de la Commission de l’Économie consacrée à LuxTrust. Convoqués à la demande des groupes CSV et LSAP, le ministre Lex Delles et les dirigeants de la société d’authentification numérique ont dû s’expliquer sur l’incident technique des 16 et 17 décembre derniers, qui avait paralysé le système pendant près de 24 heures.

L’incident était qualifié d’«inacceptable» par Lex Delles dès le lendemain de la panne. Les détails techniques fournis jeudi par les responsables de LuxTrust ont confirmé la gravité de la situation.

Tout est parti de la défaillance d’une carte réseau, dont le remplacement a révélé un bug logiciel. Avec un volume de 500 transactions par seconde, la situation s’est rapidement aggravée, entraînant une corruption des données.

Le plan catastrophe a échoué. La base de données a dû être redémarrée de zéro, prolongeant l’interruption à 21 heures, bien loin de l’objectif de restauration en quatre heures. «Un scénario désastre», ont reconnu les représentants de LuxTrust devant les parlementaires.

Trois data centers d’ici mai

Face à cet épisode embarrassant, l’entreprise a présenté son plan de remise à niveau. Actuellement à 99,7 % de disponibilité en moyenne, LuxTrust vise les 99,9 % d’ici mai 2026. Pour y parvenir, le nombre de data centers sera porté à trois.

D’autres mesures à moyen terme sont prévues pour 2027. Les investissements annuels en infrastructure atteignent 2 millions d’euros, sur un chiffre d’affaires de 30 millions. Les frais d’infrastructure s’élèvent quant à eux à 3 millions par an, une part considérable du budget de l’entreprise.

Au-delà des aspects techniques, c’est la gestion de crise qui a été pointée du doigt. Lex Delles a souligné que la communication de l’entreprise au moment de l’incident était «insuffisante», tout en annonçant que des améliorations étaient en cours.

La panne avait d’ailleurs entraîné la démission, fin janvier, de Serge Allegrezza, président du conseil d’administration depuis 20 ans. Sur les ondes de RTL, il avait jugé la situation «très embarrassante» et estimé que LuxTrust avait besoin d’une «nouvelle orientation», notamment en matière de communication et de renforcement de la résilience.

La question du monopole

Les députés ont questionné le quasi-monopole de LuxTrust au Luxembourg. Lex Delles a rappelé que cette situation remontait à la création de l’entreprise il y a plus de 20 ans, à une époque où aucun autre prestataire n’était disponible pour ce type de service. La position majoritaire de Post comme actionnaire résulterait également de cette évolution historique.

Le ministre a confirmé que l’État menait des échanges avec d’autres fournisseurs, comme la société RCDevs, qui met déjà en place des solutions d’authentification pour les pouvoirs publics. Fin décembre, un porte-parole du ministère avait déjà indiqué au Luxembourg Times que le gouvernement était «ouvert à d’autres fournisseurs», tout en précisant qu’aucune décision n’avait été prise.

LuxTrust ne fait pas partie, pour l’instant, des infrastructures reconnues comme critiques par le Haut-Commissariat à la protection nationale (HCPN). Selon Lex Delles, ce statut n’aurait de toute façon pas fait de différence par rapport à cette panne spécifique.

Aucune procédure en dommages et intérêts

Interrogés sur les conséquences de la panne pour les clients, les représentants de LuxTrust ont affirmé qu’aucune procédure en dommages et intérêts n’avait été entamée à ce jour.

Certains députés ont souligné que les services utilisés par les communes pour leurs paiements semblaient avoir été remis en service plus tard que les autres. LuxTrust a démenti, affirmant que toutes les fonctionnalités avaient été restaurées en même temps pour tous les clients.

Les parlementaires ont demandé à Lex Delles de leur fournir le «service level agreement» (SLA) qui lie l’État à LuxTrust. Ce document précise les engagements de service et les conséquences en cas de non-respect. Le ministre a accepté et s’est dit prêt à revenir devant la commission pour discuter plus globalement du rapport entre l’État et les fournisseurs de systèmes d’authentification.

Un contexte d’arnaques en hausse

Cette crise technique intervient dans un contexte déjà délicat pour LuxTrust, dont le nom est régulièrement usurpé par des escrocs. Depuis plusieurs mois, la place luxembourgeoise est confrontée à des vagues d’hameçonnage sophistiquées.

Le mode opératoire est désormais bien rodé : un faux employé de LuxTrust ou d’une banque contacte sa victime pour l’alerter d’opérations frauduleuses sur son compte. Sous pression, la personne communique ses données d’accès, voire remet physiquement ses cartes bancaires. Les escrocs peuvent alors vider les comptes.

En décembre dernier, la police avait ainsi arrêté un suspect dans le cadre d’une escroquerie ayant entraîné un préjudice de 32 000 euros. D’autres arrestations ont eu lieu depuis. Face à cette multiplication des fraudes, une campagne nationale contre la cyberfraude a été lancée, avec la création du portail cyberfraud.lu et d’une hotline permettant de bloquer des certificats LuxTrust 24h/24.