Accueil
Le quotidien du droit en ligne
-A+A
Article

Faux piratage du ministère de la Justice, vraie attaque informatique contre un cabinet

L’affaire du faux piratage du ministère de la Justice rappelle que la sécurité informatique des avocats est un sujet critique.

par Gabriel Thierry, Journalistele 7 février 2022

Le gang cybercriminel LockBit2.0, qui assurait avoir piraté le ministère de la Justice, vient de dévoiler, mercredi dernier, ses cartes. Sur son blog, la franchise mafieuse a publié plusieurs milliers de documents issus, visiblement, non pas de la place Vendôme mais d’un cabinet d’avocat normand. Soit les pirates informatiques n’ont pas bien appréhendé l’organisation française de la justice et les relations qui lient les professions juridiques et leur ministère, soit il s’agissait tout simplement d’un coup de bluff destiné à faire mousser leur piratage.

La crise semble donc moins grave pour la place Vendôme, qui a déposé plainte à la fin de la semaine dernière. Le ministère indiquait alors dans son courrier, après avoir résumé les informations alors publiques, poursuivre les investigations techniques afin d’identifier les systèmes d’information atteints, le moyen utilisé et la nature des données qui auraient pu fuiter. Toutefois, vue du cabinet d’avocats victime, l’affaire est toujours critique. De nombreux documents confidentiels de cet office ont en effet fuité sur la toile. Il s’agit par exemple de copies de pièces d’identité, des jugements rendus, ou encore les identifiants pour se connecter à un logiciel métier. Autant dire que ce piratage rappelle combien la sécurité informatique des cabinets d’avocats est critique. Tout simplement parce que les robes noires ont par nature accès à des documents, aujourd’hui numérisés, dont le secret doit être préservé.

Désastre professionnel

Le vol dont ce cabinet normand vient d’être victime n’est pas isolé. En octobre 2020, une avocate victime d’un autre rançongiciel avait raconté comment elle avait « perdu des années de travail » après son piratage informatique, un acte malveillant qui avait tourné au désastre professionnel. Une affaire récente a toutefois encore plus marqué les esprits. Un cabinet français, spécialisé dans le droit de la réparation des dommages corporels, a ainsi été victime d’une intrusion informatique l’an passé. Ce piratage s’est traduit par la vente sur le blog d’Everest, un gang spécialisé dans les rançongiciels, ces logiciels qui chiffrent vos données pour vous extorquer une rançon, de plusieurs millions de fichiers relatifs à l’activité du cabinet, dont, affirment les cybercriminels, de nombreuses pièces en lien avec la procédure sur l’attentat contre la rédaction de Charlie Hebdo.

Pour éviter de telles catastrophes, les instances ordinales préconisent le respect des règles élémentaires de la sécurité informatique. Comme avoir un système d’exploitation et un antivirus à jour, une protection par mot de passe robuste, notamment en utilisant un logiciel de gestion de mot de passe ou encore l’utilisation d’un réseau privé virtuel pour se connecter à des réseaux non sécurisés. « Il ne faut pas se contenter d’offres grand public ou standard », suggère Éric Le Quellenec, l’ancien secrétaire de la commission numérique du barreau de Paris. Et l’avocat de citer ce compte Google d’un confrère, intervenant dans une affaire de pédopornographie, qui a été bloqué et fermé à cause de l’archivage d’images issues de cette procédure.

Dans un atelier numérique de janvier 2021, le Conseil national des barreaux préconisait également d’éviter les services infonuagiques et de transferts des données américains, à la portée du droit local, et de chiffrer ses mails et ses documents transférés. Ce qui explique pourquoi l’ordre des avocats de Paris avait proposé aux juristes parties dans le procès des attentats du 13 novembre un accès préférentiel au cloud d’Oodrive, une solution qualifiée par l’ANSSI, le cyberpompier de l’État. Mais il reste sans doute encore beaucoup à faire. « Au Québec, la sécurité informatique est une obligation déontologique des avocats », rappelle Éric Le Quellenec. Plus précisément, l’article 61 du code de déontologie prévoit que l’avocat doit prendre les moyens raisonnables, y compris l’équipement informatique, « pour assurer la protection des renseignements confidentiels ». Une disposition qui pourrait inspirer les avocats français ?