La panne totale chez Luxtrust est une autre blessure narcissique pour le Luxembourg et ses prétentions de résilience numérique. En juillet dernier, les services téléphonie et Internet de Post Group avaient crashé, ses routeurs Huawei ayant été piratés. La débâcle chez Luxtrust (de mardi 15h20 à mercredi 20h00) a exposé une autre faille chez un autre acteur quasi-public. Pendant plus de 24 heures rien n’allait plus : authentifications, 3D Secure, My Guichet, Multiline… Les administrations étaient coupées de leurs administrés, les banques de leurs clients, les enseignants de leurs bilans et « Zensuren ».
La nouvelle a interpellé la Chambre des députés. Elle a fait bondir Sven Clement. Dès janvier, le député pirate avait interrogé le ministre de l’Économie s’il ne fallait pas réfléchir à « trouver d’autres partenaires ». (LuxTrust avait alors déjà connu « une erreur de software ».) Lex Delles lui répondait qu’il « n’est actuellement pas prévu de chercher un autre prestataire ». Le libéral avançait l’argument de la souveraineté et du contrôle : « Och wann een et kann esou gesinn, datt et eng gewëssen Ofhängegkeet vu LuxTrust gëtt, sief drop higewisen, datt déi gesamt Infrastruktur vu LuxTrust zu Lëtzebuerg ass ». (Fin février, LuxTrust a connu une nouvelle panne, mais de courte durée, occasionnée par une attaque DDoS.)
Entre mardi et jeudi, on a pu observer en live comment le ministre a changé de position. Dans sa réponse (unique) aux questions parlementaires (multiples), il s’avançait encore prudemment. Luxtrust ferait « déi néideg Analys » et le gouvernement en tirerait « déi entspriechend Conclusiounen ». Mais Lex Delles ne cachait plus son agacement face aux caméras de RTL-Télé : « Et ass inakzeptabel, dass e Service wéi LuxTrust esou laang net fonctionéiert ». Il serait « en contact régulier » avec d’autres prestataires « pour avoir au moins un back-up. » Jeudi matin devant la Chambre, il a réitéré sa critique : « Dat däerf net geschéien ». On considérerait « un éventuel deuxième prestataire ». Le hasard du calendrier faisait que la Chambre évacuait ce matin-là un projet de loi introduisant « une demande d’obtention des indemnités de chômage complet en ligne », c’est-à-dire via Luxtrust. La députée verte Djuna Bernard rappelait l’avis de la CSL, qui pointe le risque pour le demandeur d’emploi « qu’en cas de panne informatique ou de sabotage par autrui » sa demande ne parvienne à l’Adem dans les délais.
Dans sa réponse aux QP, Lex Delles fait une brève autopsie du crash. Cela a commencé par un « incident technique » au niveau du stockage des données. (« C’est un problème matériel, de hardware… Comme votre laptop à la maison, qui d’un jour à l’autre ne fonctionne plus », expliquait-il jeudi aux députés). Le problème, c’est que le mécanisme de redondance s’effondre à son tour. Une composante du software aurait « failli » (« versot »). Le fournisseur ne réussissant pas à fixer le problème, les équipes techniques de LuxTrust ont dû mettre en place, dans la nuit de mardi à mercredi, « ee komplett neie Stockage ». Dans sa communication de crise, LuxTrust tente de rassurer : « Cette situation n’affecte ni l’intégrité des systèmes, ni la sécurité des transactions, ni les données des clients ». Bref, il ne s’agirait « absolument pas d’une cyberattaque », martelait le directeur de Luxtrust, Fabrice Aresu. Son président, Serge Allegrezza, a publié un post maussade sur Facebook : « Luxtrust fonctionne de nouveau normalement depuis une heure. Espérons que RTL informe le public. » L’opérateur est loin d’être sorti de la tourmente. En vertu du Digital Operational Resilience Act, les établissements financiers devraient faire un rapport à la CSSF. Se pose également la question d’une éventuelle rupture contractuelle, Luxtrust n’ayant pas assuré les services critiques. (Dans sa réponse aux QP, Lex Delles écrit ne pas pouvoir chiffrer « à ce stade » l’impact financier de la panne.)
À la critique d’être un monopoliste, Luxtrust répondait traditionnellement par l’argument du « confort ». (Une réponse de monopoliste, estime Sven Clement.) Comme en 2019 au Tageblatt : « So wird vermieden, dass man für jede Organisation, mit der man sich verbinden möchte, ein anderes Instrument benötigt ». LuxTrust est détenu à parts égales par Post Group et par un consortium réunissant l’État et les grandes banques à guichet (BGL, BIL, Banque de Luxembourg, Raiffeisen). En 2016, le groupe italien Tinexta avait acheté la moitié des actions de Luxtrust (affichant l’ambition d’en faire « le champion européen des services de confiance »), pour les céder à peine deux ans plus tard à Post Group. La firme était considérée comme une success story luxembourgeoise. Le député socialiste Franz Fayot assume sa défense. Ce serait a priori « rassurant » de passer par une solution « homemade dont on connaît la technologie ». Il appelle à protéger et développer cet acteur semi-public, plutôt que de miser sur les Gafa : « Il faut faire de plus en plus attention vis-à-vis des acteurs américains, comme on le fait vis-à-vis de la technologie chinoise ».