S'abonner Se connecter
Journal d'investigation en ligne et d'information‑hacking
Dossier
Société
par Antoine Champagne - kitetoa

Quelles leçons tirer après le ransomware qui a touché le cabinet d'avocats Le Bonnois ?

Plusieurs dossiers d'instruction en libre accès sur Internet

Les avocats sont-ils le maillon faible de la chaîne judiciaire en matière de secret de l'instruction ? Que faire pour qu'ils arrêtent de stocker des données confidentielles sur des postes de travail sous Window Vista ? A priori, personne ne semble très concerné...

820 GB de données en danger

Mi-septembre, nous écrivions que plusieurs cabinets d'avocats français avaient été victimes d'attaques par ransomwares. Dont le cabinet Le Bonnois. Depuis, le groupe Everest qui se cache derrière cette attaque a publié sur Internet des tonnes de documents confidentiels du cabinet pour l'inciter à payer la rançon. Parmi ces documents, figurent plusieurs dossiers d'instruction. L'un d'entre eux est emblématique puisqu'il s'agit du dossier Samuel Paty, le professeur d'histoire-géographie décapité par un jeune russe d'origine tchétchène, Abdoullakh Abouyezidovitch Anzorov en octobre 2020. Cette affaire n'est pas jugée et le contenu du dossier d'instruction ne devrait être consultable que par les parties. Comment en est-on arrivés là et que peut-on faire ?

L'une des spécialités du cabinet Le Bonnois est de défendre les forces de l'ordre. L'une des policières municipales arrivée en premier sur les lieux de l'attentat, Cécile H. s'est rapprochée de ce cabinet pour qu'il la représente. Ses avocats ont donc obtenu une copie du dossier d'instruction pour représenter ses intérêts. Jusqu'ici rien de problématique, c'est une démarche courante.

Mais lorsque les pirates accèdent aux données du cabinet, ils vont trouver sur les postes de travail, probablement sous Windows, des tonnes de documents : comptabilité, déclarations fiscales des avocats (nous avions évoqué cela dans notre précédent article), mais aussi des dossiers d'instruction.

« Au ministère, nous avons des exigences très élevées en termes de sécurité informatique et de protection des données », explique Emmanuelle Masson, porte-parole de la Chancellerie. Les avocats, eux, sont indépendants. « Ce sont des entreprises », explique pour sa part un responsable du Barreau de Paris. Quelles que soient les actions de sensibilisation, des barreaux ou du ministère de la Justice, les cabinets restent décideurs en dernier ressort des investissements qui seront faits, ou pas, pour protéger les données dont ils ont la charge.

Dans le cas du cabinet Le Bonnois, le manque de sécurisation des données n'est probablement pas le résultat d'un chiffre d'affaires trop faible (7,9 millions d'euros en 2019) - Societe.com
Dans le cas du cabinet Le Bonnois, le manque de sécurisation des données n'est probablement pas le résultat d'un chiffre d'affaires trop faible (7,9 millions d'euros en 2019) - Societe.com

« Il existe une plateforme d'échange de fichiers qui est sécurisée, chiffrée de bout en bout pour que les avocats puissent recevoir les copies numérisées des dossiers pénaux, il s'agit de PLEX », poursuit Emmanuelle Masson. Sécuriser les échanges est un point important. Les données sont donc chiffrées entre les serveurs du ministère et l'ordinateur du cabinet qui les reçoit. Mais une fois sur les machines des avocats, c'est une autre histoire. Pour la plupart, il s'agit de petites entreprises, l'informatique n'est pas plus qu'un vague outil de travail et la sécurité informatique se limite souvent à l'installation d'un anti-virus. Il n'y a généralement pas de département informatique. Si un avocat décide de consulter un dossier et en fait une copie sur une clef USB puis sur son poste de travail, qui est peut-être aussi son ordinateur personnel, la probabilité d'une compromission des données explose. Faut-il renforcer la législation pour que les données soient mieux protégées sur les postes des avocats ?

« Vous savez, la législation, elle est déjà là. Il y a le RGPD et la directive police-justice qui imposent un degré très élevé de protection des données personnelles pour les cabinets d'avocats, notamment », explique Emmanuelle Masson.

Le cabinet Le Bonnois sur le site du groupe Everest
Le cabinet Le Bonnois sur le site du groupe Everest

Interrogé, le Conseil national des barreaux ne se sent visiblement pas du tout concerné par cette problématique des ransomware. Il a simplement refusé de s'exprimer sur le sujet.

Si l'on peut sensibiliser efficacement, si le Conseil national des barreaux lui-même ne se sent pas assez concerné pour répondre à quelques questions de journalistes, si la législation est déjà là et qu'il ne sert à rien de la renforcer, que faire ? Peut-être que quelques condamnations de cabinets à des amendes conséquentes permettraient de déclencher enfin une réflexion de la profession sur les moyens techniques à mettre en place pour se protéger de ce type de fuites ?

A la recherche de tous les coupables ?

Si des instructions ont été renouvelées pour que l'on poursuive les groupes de pirates auteurs des attaques (laisse-t-on entendre à la Chancellerie), qu'en est-il des poursuites contre les entreprises qui n'ont pas respecté le RGPD ou les termes de la directive police-justice ? Pas certain qu'elles soient déclenchées. L'avenir le dira puisqu'une enquête est ouverte sur le piratage du cabinet Le Bonnois. Pour l'instant, la seule personne qui s'est retrouvée sous les verrous, c'est celle qui avait proposé au cabinet de les aider à entrer en contact avec le groupe Everest. Quelques articles ont mentionné cet épisode et une mise en examen. Selon nos informations, la personne qui avait proposé ses services comme intermédiaire pour entrer en contact avec ce groupe de pirates (ce qui n'est visiblement pas du tout à la portée du cabinet - voir ci-dessous) est désormais en détention provisoire.

Il faut bien le dire, en matière d'informatique, le cabinet Le Bonnois semble complètement dépassé. Lorsque nous avions découvert l'été dernier qu'il faisait partie d'une dizaine de cabinets d'avocats touchés par un ransomware, et présentant la catastrophe à venir, nous les avions joints. Nous n'avions pas été déçus de leur implication face ce piratage, comme nous le relations dans cet article :

Dans la fuite de données, on trouve une archive mail Outlook et les documents des ordinateurs de trois collaboratrices. Outre les informations concernant les clients du cabinet spécialisé dans les accidents, toutes sortes de données personnelles des trois collaboratrices sont accessibles : leurs contrats, leurs frais, des avis d'imposition... Une constante : tout est rangé n'importe comment dans le disque dur...

Nous avons joint le Cabinet Le Bonnois, comme tous les autres cités sur le site du groupe Everest. Dans tous les cas, les secrétaires ont opéré un barrage infranchissable. Nous avons laissé nos coordonnées pour être rappelés par un avocat mais personne n'a jamais pris la peine de le faire. La secrétaire, du cabinet Le Bonnois s'interroge : « Comment vous savez, déjà, que nous avons été victimes d'un piratage informatique ? ». Parce que c'est public sur Internet ? Elle avoue alors ne pas être une geek. On s'en doutait un peu. Mais toujours pas d'accès à une personne pouvant discuter efficacement de tout cela avec un journaliste. Pas geek, mais curieuse : « Juste pour ma culture personnelle, ce genre d'informations, vous le voyez sur quel site ? ». Sur Tor... « Ah, ben pour moi ça c'est un truc de la télé, tellement je ne sais même pas ce que c'est... ».

Nous avons pris le soin de rappeler le cabinet Le Bonnois à l'occasion de cet article. Nous voulions savoir quelles mesures il envisageait de prendre pour assurer une meilleure protection des données personnelles de ses clients, comprendre quelles procédures de gestion de crise le cabinet avait été mises en œuvre. Ces informations pourraient bénéficier à leurs confrères. Mais Yves Devault, « la personne en charge de l'informatique », nous a expliqué que le cabinet s'était déjà beaucoup exprimé dans la presse sur cette problématique, qu'il nous suffisait de faire une recherche Google pour trouver ces articles. Recherche assez infructueuse. Ou alors, c'est caché dans le Darknet, « ce truc de la télé » ?

Comme lors de notre premier article, le cabinet ne semble pas vouloir faire preuve d'une grande transparence sur ce qui s'est passé et ce que l'on pourrait faire pour améliorer la situation.

L'Anssi fait preuve de constance, comme un tanker lancé sur l'océan. L'agence gouvernementale, qui est concernée au premier chef par la confidentialité des dossiers d'instruction, de la sécurisation de la chaîne judiciaire, continue d'être aux abonnés absent pour Reflets.info. Nous avons à nouveau laissé des messages sur le numéro de téléphone destiné à la presse, nous avons interpellé l'agence sur Twitter, personne ne semble vouloir répondre à nos questions. Sans doute le sujet n'est-il pas d'intérêt général ? De son côté, la CNIL continue de ne pas commenter les dossiers en cours.

Les poursuites à géométrie variable

Lorsque je publiais des articles sur Kitetoa.com, moquant le manque de sécurisation des données personnelles, je ne manquais pas de rappeler que si la loi Godfrain du 5 janvier 1988 prévoit de punir les auteurs de piratage informatique, la Loi Informatique et Liberté dispose que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. » Et l'article 226-17 du code pénal est assez clair : « le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300.000 euros d'amende. »

Cependant, à l'époque de Kitetoa.com (donc jusqu'en 2011), je soulignais aussi qu'il n'y avait qu'un seul exemple dans la jurisprudence, d'une société condamnée pour ne pas avoir protégé les données collectée, et encore, cela datait de l'époque du Minitel...

Il y a donc des poursuites à géométrie variable. Celles contre les pirates informatiques, mais aussi contre les journalistes, comme le co-fondateur de Reflets.info, condamné pour avoir fait une recherche sur Google et téléchargé les fruit de cette recherche. On marche sur la tête, mais cela fait plaisir à quelques magistrats incapables de prononcer Google correctement et à la procureur qui explique dans ces réquisitions ne pas avoir compris la moitié de ce qui avait été dit pendant le procès... Et puis il y a les très rares poursuites contre les entreprises. Bien entendu, il y a quelques exemples. Pour marquer le coup. Quelques millions d'amende contre Google ou Amazon, ce qui correspond à quelques secondes de chiffre d'affaires pour elles. Toute juste une piqure de moustique... En revanche, les tonnes de startups, de PME, de boites de marketing qui exploitent illégalement des fichiers ou qui stockent n'importe comment ces informations, ne sont que très rarement poursuivies.

Exemple de site collectant des données personnelles sans les protéger
Exemple de site collectant des données personnelles sans les protéger

C'est sans doute dommage car, comme souvent, il est plus utile de faire de la « prévention » en marquant les esprits plutôt qu'en déversant toute son énergie à poursuivre des groupes de pirates russes protégés par leur pays et donc, impossibles à atteindre.

Peut-être les personnes contactées lors de la préparation de cet article et qui ont estimé inutile de discuter du problème posé par la diffusion de dossiers d'instruction en cours ont-elles des arguments pour défendre leur position ? Ce n'est pas sur Internet, c'est sur le « darknet », donc difficilement accessible ? Il n'y a pas mort d'homme ?

Le « darknet » n'est rien d'autre qu'une partie d'Internet et son accès est aussi simple que le bête téléchargement d'un navigateur qui vous y emmène de manière très transparente (sans avoir à faire des opérations informatiques particulières). L'accès aux données incriminées n'est pas plus compliqué que l'usage habituel d'un navigateur, même pour des malcomprenants en informatique.

Il n'y a pas mort d'homme, c'est certain. Mais c'est une hypothèse que l'on ne peut raisonnablement pas écarter. Les dossiers terroristes déclenchent les passions. En ces temps troublés où des groupes d'extrême-droite lourdement armés et ayant des projets d'attentats sont arrêtés, les autorités ne devraient pas écarter l'idée qu'un extrémiste pourrait vouloir « venger » Samuel Paty. Il trouverait toutes les informations nécessaires dans le dossier diffusé sur Internet en raison de l'incurie d'un cabinet d'avocats, du manque d'implication des barreaux, de la profession, de l'exécutif, de l'Anssi, de la CNIL... C'est du moins l'impression que tous s'efforcent de donner lorsque l'on tente d'échanger sur cette problématique.

4 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée