elon la légende grecque, le tout-puissant Zeus, pour se venger de l'enlèvement du feu par Prométhée, créa une boîte contenant tous les maux du monde et tous ses espoirs. L'ordre de ne jamais ouvrir la boîte n'a pas duré longtemps. Pandore, richement dotée en cadeaux et en beauté, épouse bientôt le frère de Prométhée et, peu après leur mariage, ouvre la boîte qui lui a été donnée. C'est alors que tout le mal emprisonné dans la boîte s'échappe, apparemment sans pouvoir être repris jusqu'à ce jour.
C'est ce qui est ressorti de l'interrogatoire d'un directeur informatique de Wirecard dans la salle d'audience de la prison de Munich-Stadelheim le 17 mai 2023. Jusqu'à l'insolvabilité de Wirecard, le témoin N. était responsable des questions technologiques chez Wirecard Europe et Asia Pacific, en tant que vice-présidente (VP). Elle a été l'une des premières employées de Wirecard, embauchée en 2005 après un stage de six mois. Il s'agissait également de son premier véritable emploi à l'époque. Elle a d'abord travaillé comme développeuse de logiciels pour Wirecard pendant cinq ans. Il est fort possible qu'au moins pendant ses premières années chez Wirecard, elle ait travaillé avec ou sous la direction de Jan Marsalek, qui était initialement responsable du développement des logiciels. En 2010, elle a travaillé en tant qu'analyste commerciale, deux ans plus tard en tant que responsable de l'émission dans l'environnement SAP, puis deux ans plus tard en tant que vice-présidente de la technologie, responsable de la supervision des architectures et des systèmes informatiques de Wirecard en Europe et en Asie-Pacifique.
Le témoin N. déclare d'emblée devant le tribunal que, pendant la période où elle était vice-présidente chargée de la technologie, elle rendait compte exclusivement à la directrice générale Susanne Steidl. Elle déclare n'avoir jamais eu de contact avec Jan Marsalek ou le Dr Braun, qui est assis à quelques mètres à sa gauche. Pas même via Telegram, qui était utilisé comme principal outil de communication interne pour les messages et les appels - WhatsApp n'était pas autorisé chez Wirecard.
Les choses deviennent intéressantes lorsque le témoin N., interrogé par le président du tribunal, commence à faire la lumière sur les architectures informatiques de Wirecard. Wirecard disposait de peu de serveurs informatiques propres, l'entreprise confiant plutôt ses données et ses applications à des prestataires de services externes. Nordisk Networks, dont le siège se trouve à Munich, était l'une des sociétés chargées de cette tâche. Il y avait également des centres de données en Autriche et à Dubaï, certains partenaires tiers à Singapour et en Asie avaient soit leurs propres centres de données, soit des centres de données externalisés. Apparemment, le lancement du
"moteur élastique" de Wirecard au début de l'année 2019 a coïncidé avec une augmentation de l'utilisation de services cloud supplémentaires, c'est-à-dire d'ordinateurs externalisés qui stockent non seulement des données, mais qui peuvent également exécuter des programmes logiques pour le compte de Wirecard. Certains de ces clouds ont été mis en place chez le géant fournisseur de services informatiques Amazon (AWS), dans nulle autre ville que Toronto, au Canada.
Cependant, au début de 2019, la plateforme "Elastic Engine" de Wirecard, alors nouvelle, a été introduite, ce qui permet enfin une évaluation fiable de bout en bout des transactions de tiers. En conséquence, la portée de l'audit a été élargie, mais en raison du volume élevé de transactions de 200 millions de lignes de données pour le seul mois de décembre 2019, KPMG n'a tout simplement pas eu le temps d'examiner entièrement cet ensemble de données. La bonne nouvelle est que KPMG a tout de même pu publier une évaluation préliminaire montrant que les volumes de transactions étaient cohérents avec la comptabilité du partenaire et qu'ils étaient correctement reflétés dans les états financiers.
Article
"Wirecard Bombs Again" daté du 4 mai 2020.
La pièce maîtresse de l'architecture informatique de Wirecard, appelée "Elastic Engine", pouvait être répliquée pour fonctionner sur un grand nombre de serveurs. Le témoin N. affirme qu'il y a eu au moins une demande d'externalisation de l'ensemble du code source à un partenaire tiers, émanant de Jan Marsalek, au cours de l'année 2019. Le projet a été abandonné peu après. Il est également intéressant de noter qu'après la commande du projet, un employé nommé Manoj Sahu a été transféré à Toronto chez le fournisseur de services cloud de Wirecard pour gérer ces instances cloud à partir de là. Sahu travaillait directement sous les ordres de Jan Marsalek et, pour l'essentiel, ne rendait compte qu'au COO fugitif de Wirecard. Cela ouvre toute une série de possibilités, au moins théoriques, concernant
les liens entre Wirecard, le Canada et PaySafe. Étant donné que l'Elastic Engine peut être considéré comme une passerelle logicielle qui distribue uniquement les demandes de transactions monétaires en vue d'un traitement ultérieur, Wirecard avait besoin d'un certain nombre de serveurs et d'instances de traitement de cartes de crédit supplémentaires,
Lorsqu'on lui demande si les adresses FTP clairement reconnaissables et les clés de mots de passe API, permettant de récupérer des données directement à partir d'ordinateurs en réseau, lui disent quelque chose, elle nie. Les codes d'accès confidentiels d'il y a quelques années, reconnaissables pour n'importe quel informaticien à mi-chemin, "ne signifient rien" pour elle.
situés initialement à Dubaï et plus tard à Munich.
Après les discussions sur les architectures informatiques fondamentales de Wirecard, le tribunal semble ouvrir complètement la boîte de Pandore lorsqu'il affiche quelques conversations par courriel sur le moniteur. Dans une chaîne de messages datant de 2018, le témoin N. demande à Toronto si elle ne pouvait pas avoir une vue d'ensemble précise des architectures informatiques des partenaires tiers, ainsi qu'une vue d'ensemble de toutes les instances en nuage. Elle a obtenu la réponse suivante :
"Les instances en marque blanche sont fournies dans le nuage, généralement pour les PSP. Les instances en marque blanche fonctionnent de manière indépendante dans le nuage, nous ne fournissons que l'assistance technique".
Un autre des maux de la boîte de Pandore est libéré lorsque le juge jette sur le moniteur du tribunal un autre extrait d'e-mail datant de plusieurs années. Lorsqu'on lui demande si les adresses FTP clairement reconnaissables et les clés de mots de passe API, permettant de récupérer des données directement à partir d'ordinateurs en réseau, lui disent quelque chose, elle nie. Les codes d'accès confidentiels d'il y a quelques années, reconnaissables pour n'importe quel informaticien à mi-chemin,
"ne signifient rien" pour elle. La situation devient encore plus pandore lorsque le juge affiche à l'écran une liste de 45 serveurs mondiaux en nuage. Lorsqu'on lui demande si elle connaît ces serveurs, elle répond, entre guillemets,
"non, jamais entendu parler".
La boîte de Pandore réserve encore quelques surprises lorsque le tribunal demande quels sont les volumes réels de transactions sur les serveurs de Wirecard. Ce nombre se situe autour de 40 millions pour un bon mois, répond le témoin, bien loin des chiffres prévus pour le projet "Vision 2025" de Wirecard à partir de 2019. La boîte de Pandore a continué à se vider lorsque des déclarations telles que
"Bellenhaus est une machine à fric, il pensait que c'était un système efficace pour économiser des impôts" ont été prononcées devant le tribunal. Ou qu'un certain nombre d'employés de Wirecard savaient depuis longtemps qu'il n'y avait littéralement aucune personne employée chez Card Systems, et qu'ils se posaient depuis un certain temps déjà la question autocritique de
"savoir qui gagne réellement tout l'argent là-bas".
Les questions relatives à l'
investissement gigantesque de Softbank dans Wirecard à partir d'avril 2019, souvent passé inaperçu, ont également été passionnantes. Susanne Steidl, membre du conseil d'administration et élue parmi les
100 femmes les plus influentes de l'économie allemande en 2018 et 2019 - ainsi que parmi les femmes les plus influentes du secteur des technologies de pointe dans le même pays - a soudainement débarqué dans le bureau du témoin et a exigé une base de données complète avec toutes les données de transaction des dernières années - y compris les données confidentielles. Lorsque le témoin a demandé si cela n'était pas si facile à faire et à quoi cela servait, Mme Steidl a répondu que
"Jan Marsalek en avait besoin pour Softbank". Après quelques semaines, il a reçu le fichier d'environ 150 GB sur un petit disque dur. Comme si cela ne suffisait pas, le témoin a confirmé qu'un deuxième tableau de données de ce type, contenant toutes les données relatives aux transactions financières, lui avait été demandé quelque temps plus tard par Mme Steidl, avec des informations encore plus détaillées.
Il était également stupéfiant d'entendre le témoin expliquer que lors d'un événement offshore en mai 2019, les questions pressantes des employés de Wirecard sur l'identité exacte du responsable des nombreuses ventes ont été contrées par l'argument de Pandore 'des clients importants que nous ne sommes pas autorisés à mentionner'.
Dans la salle d'audience, des courriels affirmant qu'il aurait été possible d'extraire de ces listes de données des informations partiellement complètes sur les cartes de crédit ont également été lus.
Apparemment, la liste électronique de quelque 200 millions d'enregistrements de transactions financières, remise à KPMG pour son audit spécial, n'était apparemment qu'un sous-ensemble des deux listes Pandora mentionnées ci-dessus. Les tableaux de données de KPMG ne contenaient que 8 à 10 champs de colonnes, soit beaucoup trop peu d'informations pour assurer un suivi complet des transactions. En raison de l'importance des listes et des enregistrements, le témoin a de nouveau fait appel à Toronto pour recevoir toutes les données de transaction pertinentes sur leurs serveurs en nuage. Cependant, un gentilhomme a immédiatement refusé de fournir des informations détaillées. Il lui a dit qu'elle n'était pas autorisée à récupérer des données ici et a rapidement cliqué sur le bouton rouge pour mettre fin à la conversation téléphonique.
Il était également stupéfiant d'entendre le témoin expliquer que lors d'un événement offshore en mai 2019, les questions pressantes des employés de Wirecard sur l'identité exacte du responsable des nombreuses ventes ont été contrées par l'argument de Pandore
"des clients importants que nous ne sommes pas autorisés à mentionner". Peu après, Susanne Steidl, membre du conseil d'administration de Wirecard et anciennement élue super-directrice pour toute l'Allemagne, a appelé pour mettre un terme aux questions complémentaires et a clairement indiqué que toute nouvelle discussion sur ce sujet était désormais interdite.
La vice-présidente de Wirecard témoigne en outre qu'elle a rarement été confrontée personnellement à un comportement inhabituel de la part des membres du conseil de surveillance et du conseil d'administration. À l'exception d'une fois, en 2019 environ, où elle a oublié de payer une contravention pour le stationnement d'une voiture de fonction. Le CFO von Erffa a immédiatement contacté le témoin personnellement et l'a averti sur un ton sévère de ne plus se comporter de la sorte à l'avenir, car Wirecard a dû payer en son nom des frais inutiles d'environ 10 euros.
M. Braun a terminé la journée en posant quelques questions, notamment sur les faibles chiffres des transactions, qui étaient en fait des réservations nettes liées uniquement à l'Europe et à l'Asie-Pacifique. Projet Aslam n'était apparemment pas du tout incluse dans les transcriptions, ce qui représentait 20 à 30 milliards supplémentaires. En outre, les chiffres qu'elle a présentés ne concernaient que 4 des 11 pays dans lesquels Wirecard exerçait ses activités. Lorsque M. Braun a demandé combien d'acquéreurs étaient réellement connectés au moteur de paiement en 2019, le témoin n'a pas été en mesure de fournir une réponse.
Un nom de société est revenu dans toutes les discussions et questions, y compris celles de M. Braun : One Stop Money Manager.
Apparemment, il s'agit de l'un des derniers maux de la boîte de Pandore.