Village de la Justice www.village-justice.com

Cyberattaques dans le monde juridique : le cas des attaques par « Emotet ».
Parution : vendredi 9 octobre 2020
Adresse de l'article original :
https://www.village-justice.com/articles/cyberattaques-dans-monde-juridique,36759.html
Reproduction interdite sans autorisation de l'auteur.

La digitalisation de la profession d’avocat ne retire rien à la prépondérance de l’aspect humain du métier, bien au contraire. Dans le contexte numérique, valorisons davantage ce facteur humain, en sensibilisant l’avocat aux règles d’hygiène numérique, nécessaires à la protection de ses principes essentiels.

Réalité de la menace informatique.

Les attaques informatiques que subissent les cabinets d’avocats internationaux nous semblent souvent bien éloignées, tant les médias font état d’affaires principalement étrangères qui ne visent que les données traitées par des cabinets de renom.

C’est ainsi que l’affaire des Panama Papers a éclaté après le piratage informatique d’un cabinet d’avocats panaméen, tout comme l’on sait que la publication de certaines données relatives à des célébrités américaines fut permise par le rançongiciel dont a été victime leur cabinet d’avocats.

Mais ce que l’on saisit moins, c’est que la menace ne se préoccupe pas des frontières géographiques, ni de la taille ou de la réputation du cabinet qu’elle attaque.

La récente médiatisation du piratage subit par un certain nombre d’avocats français travaillant dans des cabinets de taille parfois modeste pourrait contribuer à faire reculer cette ignorance.

Emotet à l’origine des attaques.

L’écosystème numérique des avocats est menacé par l’introduction d’un code malveillant nommé Emotet. Il y a pénétré au moyen d’un simple hameçonnage [1] déployé à grande échelle.
Initialement cheval de Troie [2] bancaire, Emotet a muté en 2017 pour prendre la forme d’un objet malveillant plus sophistiqué et modulaire.
Concrètement, il a multiplié ses capacités et est en mesure de récupérer les mots de passe stockés dans les navigateurs, dérober des contacts, les contenus des courriers électroniques ainsi que leurs pièces jointes.
Enfin et de manière inquiétante, il peut dorénavant se propager au sein des réseaux en exploitant les vulnérabilités et les mots de passe volés précédemment. Muni de ces informations, il peut ouvrir la porte à un tiers attaquant afin de lui permettre d’exécuter un code malveillant supplémentaire tel un rançongiciel.

Cette analyse ne peut que confirmer l’habileté d’Emotet. Son exploitation semble obéir aux sept phases d’une cyberattaque réussie et énumérées par W. Culbert [3] : reconnaissance, exploration, accès, exfiltration, attente, assaut, obfuscation. La phase première est l’hameçonnage que nous avons déjà décrit. Elle permet à l’objet malveillant de procéder à un repérage : il identifie les systèmes les plus vulnérables. Ces systèmes deviennent les proies des cyber criminels.

Ce que nous vivons aujourd’hui, c’est à dire l’exfiltration de données, correspond à la 4ème phase. Elle a pour but l’organisation d’un hameçonnage ciblé [4]. Emotet dérobe des contenus de correspondances afin qu’ils soient réutilisés par les pirates pour renforcer la crédibilité des courriers vérolés. Un courrier qui comporte un objet familier ou un contenu connu a plus de chances d’être ouvert.

La finalité de cette phase est la phase six, l’assaut [5] !

Un contexte favorable au déploiement d’Emotet.

Les organisations criminelles exploitent le contexte actuel pour diffuser Emotet. La pandémie et la mise en place d’une organisation nouvelle a modifié la charge de travail des avocats en l’alourdissant. La combinaison de cette situation avec la fin de vie de Windows 7, en janvier dernier, crée des conditions favorables à la propagation du code malveillant. En effet, le produit est encore largement présent au sein des environnements professionnel et personnel, et il est d’autant plus vulnérable que les mises à jour de sécurité de Windows 7 ne sont plus publiées

Le retard dans la prise en compte de la sécurité informatique peut s’expliquer par le fait que cette dernière est injustement perçue comme une charge qui s’ajoute à celles que porte quotidiennement l’avocat libéral. Contrairement aux grandes structures qui ont déjà pris en compte la notion de sécurité, certains avocats libéraux n’ont pas encore mis en place l’organisation nécessaire à la création d’un barrage contre les attaques malveillantes. Par exemple, leurs usages numériques ne cloisonnent pas suffisamment la vie privée et la vie professionnelle, ce qui est pourtant élémentaire en matière d’hygiène numérique.

Ce déficit de culture de la sécurité informatique est la raison pour laquelle l’on perçoit une faible maîtrise de la situation actuelle par les parties concernées. Alors quand elles aperçoivent leurs correspondances circuler avec des contenus frauduleux, elles s’interrogent : de qui provient la faille ? Qui permet au Cheval de Troie de circuler ? Chacun se pose la question mais personne ne la formule expressément, par crainte d’afficher une certaine culpabilité dans la diffusion d’Emotet.

La situation mène à un statu quo. Or répondre à la question est primordial, car de cette réponse découlent des conséquences juridiques.

Cyberattaques et responsabilités.

L’un des enjeux des incidents de sécurité informatique est la manière dont le droit les aborde. Le constat est en effet paradoxal, puisque la victime devient responsable des conséquences de l’attaque [6]. Elle peut ainsi vivre une double peine : organiser la reprise de l’activité en rétablissant son système d’information et subir les conséquences des responsabilités civile, pénale, déontologique et administrative.

La spécificité de la profession d’avocat élargie la palette des sanctions applicables. Ceux-ci n’étant pas des responsables de traitement ordinaires, leurs obligations quant à la préservation des données qu’ils traitent sont renforcées.

Citons quelques-unes des conséquences juridiques qui pourraient être attachées à l’infiltration illégitime d’un pirate informatique au sein du système d’information d’un cabinet.

Il y a d’abord les sanctions disciplinaires que provoque la violation du secret professionnel [7]. C’est ainsi qu’un avocat fut condamné par les instances ordinales, car il partageait ses locaux avec un expert-comptable et n’avait pas cloisonné son système d’information. Cette porosité avait eu pour effet de permettre à son colocataire d’accéder librement aux données couvertes par le secret professionnel de l’avocat [8].

L’application du volet pénal de la violation du secret professionnel [9] est en l’occurrence moins évidente. Car l’infraction est intentionnelle : l’avocat qui viole le secret professionnel est celui qui le fait délibérément, et non pas par imprudence. Il faudrait alors démontrer que l’avocat a sciemment choisi de ne pas appliquer les règles de sécurité informatique et a, par conséquent, permis l’introduction d’un code malveillant. Sous cette réserve, l’avocat pourrait voir sa responsabilité pénale engagée.

Ce ne sont pas seulement les règles protégeant le secret professionnel qui sanctionnent la prise de connaissance illégitime des données. Aux principes rappelés ci-dessus, peuvent s’ajouter les règles qui régissent la responsabilité civile [10], entraînant ainsi le versement de dommages et intérêts. Il ne faut pas omettre l’aspect administratif de la responsabilité, avec l’application des sanctions que la CNIL a le pouvoir de prononcer [11].

À notre connaissance, de telles sanctions n’ont pas encore été appliquées à l’hypothèse du piratage informatique d’un cabinet d’avocats. Mais elles sont envisageables, voire cumulables entre elles. C’est pourquoi adopter une hygiène numérique est primordial.

Comment se prémunir d’Emotet.

Il est une affirmation historique en matière de sécurité informatique tant elle est répétée : le facteur humain est la première cause d’insécurité informatique. C’est pourquoi 80% des attaques réussies ont nécessité une intervention humaine. Or les responsables préfèrent souvent acquérir des solutions plutôt qu’éduquer leurs collaborateurs.

Mais affirmer que l’humain est la principale cause des incidents de sécurité informatique est aussi une bonne nouvelle, car cela signifie que le facteur humain fait partie de la solution.

Réjouissons-nous aussi que des supports de formation, librement accessibles, permettent d’inculquer une culture de la sécurité informatique. Nous pensons aux nombreux contenus mis à disposition par des organisations gouvernementales [12].

Le risque pour l’avocat sera diminué, si l’on couple cette formation aux solutions de sécurité et aux assurances spécialisées permettant de transférer la charge du risque à un tiers.

Conclusion.

S’il faut lui attribuer un mérite, la vague d’attaques par Emotet a le bénéfice de démontrer que les avocats sont peu préparés aux enjeux de la sécurité informatique. Mais de cette défaillance peut naître une opportunité.
Gageons ainsi que les avocats ressortiront de l’épreuve avec la conviction que l’hygiène numérique est essentielle pour préserver ce qui constitue un pilier de la profession : le secret professionnel.

Emilie Pouffier-Thompson Doctorante en Droit. Philippe Lefort Directeur du programme cybersécurité d'une ESN.

[1« L’hameçonnage (phishing en anglais) est une technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles (comptes d’accès, mots de passe…) et/ou bancaires en se faisant passer pour un tiers de confiance. » : définition donnée par Cybermalveillance.gouv. Disponible sur : https://www.cybermalveillance.gouv.....

[2Un cheval de Troie est un programme malveillant qui « agit à l’insu de son destinataire » : N. Arpagian, La Cybersécurité, Que sais-je, 3è éd., 2019, p. 28.

[3W. Culbert, « Les sept étapes d’une cyberattaque réussie », Beyond Trust, cité par, Ecole de Guerre Economique, « Guide pratique pour les PME/PMI : Méthodologie de gestion de crise cyber », disponible sur : https://infoguerre.fr/wp-content/up... (consulté le 24 sept. 2020).

[4Autrement nommé « spear phishing ».

[5L’assaut correspond à l’atteinte du but final pour lesquelles les données ont été dérobées. Il peut par exemple s’agir du déploiement à grande échelle d’un rançongiciel.

[6La question de la responsabilité n’est qu’un des aspects juridiques du sujet. Parmi les autres, citons ceux qui relèvent de l’atteinte à des droits fondamentaux des clients du cabinet, tel le droit à un procès équitable.

[7RIN, art. 2.

[8Paris, 28 sept. 2006, RG,° 2005/23312, in. H. Ader, A. Damien, T. Wickers, S. Bortoluzzi, D. Piau, Règles de la profession d’avocat, 16è éd., Dalloz, 2018, p. 556.

[9C. Pén., art. 226-13.

[10C. Civ, art. 1240.

[11Loi no 78-17 du 6 janvier 1978 modifiée, art. 20 à 23.

[12MOOC de l’ANSSI : https://secnumacademie.gouv.fr/ ; Kits de sensibilisation réalisés par Cybermalveillanc.gouv (consulté le 24 sept. 2020).