Les avocats, ou plutôt le Conseil National des Barreaux (CNB), ont décidé de mettre un coup d’accélérateur à leur évolution vers le numérique en ouvrant un service baptisé "Cloud privé des avocats". Ce service est-il sûr ?

Les avocats, ou plutôt le Conseil National des Barreaux (CNB), ont décidé de mettre un coup d’accélérateur à leur évolution vers le numérique en ouvrant un service baptisé "Cloud privé des avocats" (avec une majuscule à Cloud). Voici un extrait de la présentation de ce service sur le site du CNB :

Le Cloud privé des avocats, est une solution à haut niveau de sécurité disponible dès à présent. Dédié exclusivement aux avocats inscrits à un barreau français et en exercice, le Cloud privé garantit la confidentialité des correspondances et le secret professionnel. Inscrivez-vous dès maintenant pour profiter de tous ses avantages !

Le Cloud privé des avocats vous propose :

• une adresse de messagerie @avocat-conseil.fr permettant l’envoi de messages sécurisés vers vos confrères et vos clients ;
• un carnet d’adresses ;
• un agenda ;
• un gestionnaire de tâches ;
• un espace de stockage en ligne ;
• une suite de logiciels de bureautique (en option) ;
• un archivage chiffré ;
• l’envoi de vos courriels chiffrés vers vos clients.

J’ai pu tester ce service (enfin surtout la messagerie) dans le cabinet où je procédais à son installation. Voici quelques unes de mes impressions.

L’installation.
Tout étant en ligne, il n’y a rien à installer sur l’ordinateur : il suffit d’activer le service depuis le site, en suivant les indications que j’ai trouvées bien faites. Seul bémol : l’adresse email au format prénom.nom chez avocat-conseil.fr devient l’adresse par défaut de réception des alertes RPVA... Petite suée froide avant de me rendre compte qu’il est possible de reparamétrer le compte afin de rétablir l’adresse habituellement utilisée par le cabinet. Un point positif, qui est de bon augure pour faciliter l’adoption de l’outil par l’ensemble des utilisateurs.

Le concept.
Le CNB souhaite mettre en place, avec le "Cloud privé des avocats", un espace d’échanges et de stockages sécurisés. Parmi les différentes approches possibles, celle qui a été retenue est la centralisation dans le nuage, c’est-à-dire l’hébergement externalisé. C’est une approche risquée dans la mesure où les cabinets d’avocat ont une pratique de la gestion de la sécurité en général localisée à leur cabinet, où ils doivent assurer un haut niveau de confidentialité. Mais l’arrivée du RPVA a ouvert la profession à une gestion collective de la sécurité, même si l’on peut regretter certains choix techniques (par exemple les difficultés d’installation sous GNU/Linux). L’importance des échanges par emails dans une majorité de dossiers imposait une avancée sur le problème de leur sécurisation.

Le choix du type de chiffrement.
Le marché des messageries chiffrées est en plein essor depuis les révélations d’Edward Snowden et la mise en évidence d’une surveillance généralisée des communications électroniques. Je peux citer un beau projet tel que Protonmail qui permet d’envoyer des emails sécurisés, mais reste compatible avec les messageries classiques. Le CNB a fait le choix de l’environnement Open-Xchange et de son extension OX Guard. Ces outils utilisent l’excellent système de clefs PGP. Le système crée pour chaque avocat une clef privée et une clef publique. Tout est fait pour que l’ensemble soit très simple à l’usage : quand vous envoyez un email à un autre avocat par le biais de cette plateforme, vous choisissez si vous voulez le chiffrer et/ou le signer, en cliquant sur des cases à cocher. Vous pouvez insérer des images (emails au format HTML) ou des pièces jointes, l’ensemble sera chiffré. C’est simple quand on connaît bien les concepts techniques.

Les défauts relevés.
Sans prétendre avoir testé tous les aspects du "Cloud privé des avocats", j’ai fait des essais assez simples qui ont montré qu’il restait quelques problèmes à résoudre :
1) Je n’ai pas remarqué de système d’accusé de réception et d’accusé de lecture.
2) Les clefs privées/publiques ont une durée de validité de 10 ans, ce qui me semble très long.
3) Je n’ai pas vu de système de révocation des clefs
4) Un couple de clefs est créé pour tous les correspondants extérieurs, même si ceux-ci en disposent déjà ! C’est très gênant pour la majorité des logiciels de messagerie qui vont devoir demander aux utilisateurs quelle clef utiliser parmi plusieurs, pour la même adresse email ! (je parle des utilisateurs extérieurs).
5) Les clefs privées sont gérées dans le cloud par un système centralisé qui, s’il est compromis, va compromettre l’ensemble des correspondances sécurisées. Cela me semble un risque important en matière de sécurité.
6) Les clefs publiques ne sont pas publiées sur un serveur public, ce qui interdit à un correspondant extérieur de contacter facilement un avocat de manière sécurisé.
7) Lorsque l’on insère une image dans un email HTML chiffré destiné à un correspondant extérieur, l’image peut ne pas être transmise dans le message (bug constaté au moins une fois dans un de mes messages tests).

Conclusion.
Je trouve formidable qu’une profession sensible à la confidentialité fasse l’effort de s’équiper d’un outil numérique assurant celle-ci. Je suis heureux que le CNB ait fait le choix d’un système de cryptographie à clé publique tel que PGP comme méthode de chiffrement. Par contre, le choix d’une gestion centralisée des clefs privées fragilise la sûreté du système : quand une informatique de confiance est mise en place, c’est aux utilisateurs qu’il faut faire confiance. Ce devrait être à eux de gérer leur clef privée.

Je pense également qu’un gros effort va devoir être fait pour expliquer le fonctionnement du système et ses limites. Il va falloir rappeler, par exemple, que les sujets des emails ne sont pas chiffrés (ils sont souvent utilisés par les avocats pour rappeler les références de leurs dossiers). Il va falloir faire cohabiter plusieurs adresses emails dans les cabinets ayant déjà leurs noms de domaine.

L’avenir dira si ces écueils seront surmontables.

Olivier Nerrand https://fr.linkedin.com/in/nerrand Fondateur du Cabinet d`Expertise Informatique CABEXINFO spécialisé dans les exégèses expertales Expert judiciaire près la Cour d`Appel de Poitiers et la Cour Administrative d`Appel de Bordeaux Directeur Informatique et Technique de l’École d`Ingénieurs en Génie des Systèmes Industriels de La Rochelle CABEXINFO expert@cabexinfo.fr

Comentaires:

• 
  Bel outil qui ne marche pas encore, Frederic, 5 juillet 2016

  Pour moi ça ne fonctionne pas, l’arborescence des dossier est figée et le sav inexistant.

  
  
  • Il y a, en effet, un autre defaut., Epailly, 10 septembre 2016

    L’organisation des dossiers est lineaire, sans sous dossier ni arborescence...

    Rien a voir, par exemple, avec la remarquable synchronisation et l’organisation de la dropbox.

    Bref, une bouse.
  
  
  • boite mail cnb, jean frédéric le gallo, 1er mai 2020

    bonjour,
    à la différence du RPVA- juridictions qui fonctionne bien,
    je constate qu’il y a souvent des problèmes de connexion lente pour la boite mail avocat-conseil.fr ; parfois la page "maintenance en cours" s’affiche sans raison ;
    il faut reloader avec le process des mots de passe ;
    idem quand la boite mail reste ouverte sans utilisation au delà de 5 mn environ ;
    ça devient très vite exaspérant ! surtout quand on est dans l’urgence ;
    je pense sérieusement à migrer ;