Espionnage économique, déstabilisation politique, extorsion de fonds ou délit d’initiés… Les raisons de pirater les cabinets d’avocats ne manquent pas et sont de plus en plus nombreuses. L’ANSSI livre un rapport sur la question et préconise des mesures de prévention.

Le 27 juin, l’ANSSI a publié un rapport sur l’état de la menace informatique qui pèse sur les cabinets d’avocats dont le niveau de sécurité en la matière est jugé “hétérogène“. Tous, grands cabinets dotés d’une politique de sécurité des systèmes informatiques comme petites structures souvent peu sensibilisées, sont exposés. Ils constituent même des cibles de choix pour les cybercriminels désireux d’extorquer des fonds ou de commettre un délit d’initiés. Attaques à but lucratif donc, mais pas que. Les hackers pratiquent également l’espionnage et mènent des opérations de déstabilisation. Et selon l’ANSSI, “la surface d’attaque des cabinets d’avocats ne cesse de s’étendre, notamment du fait de la numérisation croissante de la profession et des procédures judiciaires”.

La numérisation croissante des procédures judiciaires, les interconnexions entre les réseaux de cabinets et ceux des prestataires extérieurs, le manque de cloisonnement entre équipements professionnels et équipements personnels concourent à cette extension. Le recours au télétravail et les mauvaises pratiques des utilisateurs sont également pointés du doigt par le rapport. Un autre risque a émergé avec la généralisation du cloud computing : celui du stockage des données dans des pays où les lois n’assurent pas autant la confidentialité des informations hébergées qu’en France. Le rapport se réfère notamment au Cloud Act et le Foreign Intelligence Surveillance Act (FISA) américains qui permettent aux autorités de contraindre les fournisseurs de services établis sur le territoire des États-Unis à fournir les données relatives aux communications électroniques de certaines personnes.

Rapport d’autopsie et cartes bancaires

Le document décrypte trois grands types de menaces informatiques identifiés : les attaques à but lucratif, l’espionnage informatique et les opérations de déstabilisation. S’agissant de la première catégorie, l’ANSSI distingue le mode opératoire de la rançongiciel de celui des fraudes et des reventes de données. La rançongiciel consiste pour le cybercriminel à exfiltrer des données et à menacer de les rendre publiques en cas de refus de paiement de la rançon demandée. Les pirates chiffrent alors les données pour les rendre inaccessibles. Parfois l’extorsion est double, quand après le paiement les victimes s’aperçoivent que les outils de déchiffrement sont inexploitables. Cette technique de rançon a paralysé un cabinet américain pendant trois mois en 2016. Et l’a obligé à procéder à un second versement pour obtenir les outils de déchiffrement. Avec à la clef, des pertes totales estimées à 700 000 dollars américains. Depuis 2017, une douzaine de cabinets français auraient été victimes de rançongiciels selon l’ANSSI, qui estime que ce chiffre est sous-évalué. Sept cabinets d’avocats français – dont le défenseur des parties civiles dans les affaires Charlie Hebdo et Samuel Paty – ont été touchés par l’attaque du groupe cybercriminel Everest. Parmi les données exfiltrées et publiées sur le site du groupe : des procès-verbaux d’auditions, des rapports d’autopsie, des comptes rendus d’écoutes téléphoniques, la photo d’une des scènes de crime.

Pour ce qui est des fraudes, on trouve des campagnes d’hameçonnage conduites par des groupes cybercriminels comme le FIN7 ou le FIN4, à la recherche d’informations sur des opérations pouvant influencer le cours de Bourses comme une fusion-acquisition ou des difficultés financières ou juridiques. Les cabinets d’avocats sont aussi clients des – plus banals – vols de données de cartes bancaires.

“Depuis au moins le milieu des années 2000, des groupes d’attaquants présumés étatiques se sont spécialisés dans la compromission d’entreprises étrangères afin de collecter des informations commerciales”

Les cabinets d’avocats sont aussi la proie des espions informatiques. Que ce soit pour des raisons économiques ou stratégiques, les attaquants interviennent dans de nombreux secteurs : propriété intellectuelle, brevets, fusions-acquisitions, arbitrages, ou même à l’occasion d’un divorce. “Depuis au moins le milieu des années 2000, des groupes d’attaquants présumés étatiques se sont spécialisés dans la compromission d’entreprises étrangères afin de collecter des informations commerciales.” Le but ? Offrir un avantage compétitif aux entreprises de leur propre pays. Et de plus en plus souvent, ce sont les États qui recourent à des entreprises privées pour surveiller les activités des cabinets d’avocats, pour pallier leur défaut de compétences en matière de lutte informatique offensive. D’après le rapport, “l’utilisation de ces capacités pour espionner les communications d’opposants politiques, d’organisations de défense des droits de l’Homme, de journalistes et d’avocats est abondamment documentée”. Les acteurs privés en appellent eux aussi aux compétences des hackers. Les autorités anglaises se seraient ainsi aperçues qu’un émir de Dubaï, membre du gouvernement des Émirats arabes unis, avait commandité la compromission des équipements de son ex-épouse et de son avocate britannique lors d’une procédure de divorce.

 Lire aussi  En 2022, les cyberattaques ont coûté 2 milliards d’euros aux organisations françaises

Les données, du pain béni pour déstabiliser une économie ou un régime. Les exemples ne manquent pas. Des cabinets russes ont été visés par une campagne (#OpRussia) de ciblage des intérêts russes par des hacktivistes pro-ukrainiens à la suite de l’invasion du pays par la Russie, le 24 février 2022. Pour l’ANSSI, ces acteurs indépendants aux capacités limitées peuvent avoir un véritable impact négatif sur l’activité et la réputation des cabinets d’avocats, notamment dans un contexte de tensions internationales. Là encore, ces campagnes qui atteignent les cabinets d’avocats sont susceptibles d’être commanditées par des gouvernements qui souhaitent perturber des secteurs clefs de l’économie ou décrédibiliser des opposants réfugiés. Là encore, le rapport estime que les cabinets français sont pour l’instant épargnés de ce type d’attaque, mais qu’un durcissement du climat international pourrait les y exposer.

Maîtrise des risques

Utiliser des mots de passe robustes, éviter l’utilisation d’équipements ou de messagerie personnels dans un but professionnel, appliquer les mises à jour de sécurité rapidement, utiliser un filtre de confidentialité écran, procéder régulièrement à une sauvegarde hors ligne… Certaines des 30 recommandations de l’ANSSI tombent sous le sens. Celles relatives à la maîtrise des risques exigent des moyens plus aboutis. Analyser les risques liés à l’ensemble des prestataires informatiques ou prévoir un mode d’organisation dégradé comme un poste de travail de secours pour le cas où le système d’information ne répond plus, surveiller les interventions des prestataires sur site ou à distance, tout cela requiert un autre niveau de compétences. L’ANSSI préconise d’ailleurs pour tout cabinet de compter parmi ses membres un référent sécurité. Une personne faisant office de point de contact pour les équipes en cas d’incident cyber et en mesure de les sensibiliser aux risques informatiques.

Les conséquences d’une cyberattaque ne sont pas neutres. Le cabinet victime met en jeu sa réputation, ses finances - en cas de paiement d’une rançon ou pire d’une double rançon. Sans oublier le plan opérationnel, si jamais les attaquants du Web ont dans l’idée de bloquer les outils informatiques pour obtenir une double ration de rançon… Des menaces qui incitent à suivre les recommandations de l’ANSSI à la lettre.

Anne-Laure Blouin

 Lire aussi   Cyberattaques : l'hôpital contre-attaque