Un cabinet d’avocats français spécialisé dans l’aide aux victimes a lui-même été victime d’une cyberattaque par rançongiciel en juin dernier, a appris la radio-télévision suisse (RTS), ayant permis le vol de 820 gigaoctets de données, notamment en lien avec la tuerie de Charlie Hebdo et le meurtre de l’enseignant Samuel Paty.
Les pirates, du nom d’Everest Ransom Team, ont mis en vente 21 370 fichiers (21 GB) liés à Charlie Hebdo pour 50 000 dollars, et l'ensemble des 1,3 million de documents concernant également d'autres affaires pour 100 000 dollars. En revanche, les fichiers liés à Samuel Paty ne sont pas monétisés.
On y trouve des procès-verbaux d'audition de témoins et de prévenus, des rapports d’autopsie, des comptes-rendus d’écoutes téléphoniques avec les noms et les numéros de téléphone des personnes écoutées. Y figurent aussi les noms, prénoms et, parfois, les coordonnées des enquêteurs, des magistrats ou des policiers impliqués.
« Ces documents révèlent comment la police française anti-terroriste travaille. Avec quel logiciel elle intervient. On apprend aussi quelles organisations potentiellement dangereuses sont sous surveillance », souligne la RTS.
Une plainte pour chantage et accès frauduleux dans un système de traitement automatisé de données a été déposée le 11 juin dernier. L'enquête est diligentée par le Laboratoire d'Investigation Opérationnelle du Numérique de la Police nationale.
Commentaires (26)
#1
Bizarrement, quand le contenu des procès-verbaux est mystérieusement connu des journalistes quelques heures après l’audition du témoin/prévenu, y a pas de plainte/enquête.
Je dis ça…
#1.1
Là, jusqu’aux coordonnées des enquêteurs et magistrats peuvent être achetés, notamment par d’autres terroristes.
Si tu ne fais pas la différence, c’est dommage.
Surtout que je doute que les journalistes fassent des accès frauduleux à des systèmes pour avoir leurs infos.
#2
La question c’est de savoir si la “source” (pas le journaliste) à fait des accès frauduleux.
Auquel cas la chancellerie devrait porter plainte et la police devrait enquêter.
Pour l’instant, je ne peux pas dire si les pirates dans la news sont les mêmes (ou pas) que les “sources proche du dossier” qui renseignent BFMTV sur les PV d’audition des “affaires” médiatisées.
#2.1
Les sources proches peuvent tout aussi être des “fuites” bien contrôllées que des informateurs.
#3
J’ai du mal à comprendre comment les pirates peuvent légitimer ça…
#3.1
Je ne pense pas que quelqu’un ait essayé de le légitimer.
Ceux qui ont divulgués ces infos ne veulent que l’argent et n’ont aucune considération pour ceux qui vont souffrir de leurs actions. Je pense qu’ils savent et son conscient que ce qu’ils font est mal. Mais ils ont choisis de le faire.
Les gens réellement mauvais ça existe
#4
L’argent ?
#5
Mais pourquoi de tels documents (pas forcément relatif à ces deux affaires) ne sont pas sur des accès “restreint” voir air-gap ?
Et deuxio, quand ils sont en accès “libre”, ils peuvent pas essayer d’anonymiser un peu les données ou les avoir chiffrer sur le serveur (avec déchiffrement sur le client) ?
Je sais qu’on parle de droits (et donc très rarement des gens qui voit l’ordinateur autre qu’une boîte magique), mais là franchement c’est très franchement, c’est très très moyen.
Sinon, est-ce que ça compte comme une fuite de données qui doivent être signaler à la CNIL ?
#6
Concernant le Darknet, je recommande l’écoute de l’émission Affaires Sensibles diffusée le vendredi 19⁄11 dernier sur France Inter.
#7
A mon avis des fuites comme ca on va en avoir une tonne, ce qu’on considère nous (habitué de l’informatique) comme sécurisé est looooooiiiinnnnnn de la réalité et de la réalité de ceux pour qui le budget info c’est toujours trop cher (sauf pour acheter le dernier iphone).
Le piratage “engagé”/“militant” il est enterré sous le piratage mafieux ou seul la rémunération compte.
#8
parce que comme beaucoup d’entreprises, tant qu’on est pas attaqué, on n’est pas concerné. On préfère mettre le budget ailleurs. Suite à ca, quand le mal est fait, ca va surement bétonner sévère… Pas facile de faire changer les mentalités pourtant du forum/séminaire/webinaire cybersecurité, tu en as à la pelle en ce moment…
Ca marche pareil pour le particulier qui se fait cambrioler cela dit… Tu te dis que t’as rien de grosse valeur et tant que tu ne rentres pas chez toi avec la baie dégondée, tu ne penses pas avoir besoin de sécurité et alarmes supplémentaires.
#9
Parce que ca demande un investissement en argent et en temps.
Non, parce que ca demande un investissement en argent et en temps.
Ces deux réponses expliquent pourquoi les états sont tellement content de signer des contrats avec des GAFAM qui s’occuperont de cela pour eux.
#9.1
A quand un sérieux durcissement des sanctions pour ce genre de fautes ?
Pour les états, je crois surtout que c’est un beau mélange entre incompréhension des enjeux géopolitiques/absence de volonté politique (qui a dit méconnaissance du sujet), corruption (ou lobby au choix), et incompétence (car probablement pas enseigné en cours).
Et en fait, ça soulève une autre question : Si un cabinet d’avocats veut héberger des données, est-ce que la plateforme doit avoir une spécification particulière (comme pour la santé) ?
#9.2
Tu penses que les directeurs d’Hôpitaux qui se sont fait piratés n’étaient pas également sensible à l’importance des données et du SI ? Un cabinet d’avocat est comme tout autre boite, enfin une majorité, ils le savent, mais ne pensent pas que ca leur arrivera.
#10
cela fait vraiment froid dans le dos. J’imagine que le cabinet d’avocat a refusé de payer ? Ou alors ceux qui ont fait ça se sont dit que de toute façon il gagnerait plus à tout revendre.
Se retrouver avec toutes ces infos “dans la nature”, ça craint vraiment y compris avec des risques pour les personnes incriminées… Comme d’hab, il y aura une prise de conscience mais une fois que le mal est fait
#10.1
Quand je vais chez le psy, t’as le bâtiment, tu monte à l’étage, un interphone avec plusieurs noms, dont mon psy, un cab de recrutement mais aussi avocat, et quand on t’ouvre , en face de la porte d’entrée, tu as une Freebox avec une imprimante et un NAS (menant vers le bureau de l’avocat).
C’est moi qui ai dit à mon psy qu’il devait sécuriser tout ça pour éviter de se faire voler.
#11
Il ne t’aura pas échappé que, depuis plusieurs mandatures, le travail de l’état français c’est de gérer les urgences. Pas le temps ni l’argent pour mettre en œuvre une maitrise de risques à moyen terme.
Dés que l’état aura signé un contrat avec un GAFAM. Là il se fera un plaisir de sanctionner le prestataire pour faute gravissime si les données sont piratées. Car ca sera pas la faute du pirate (comme dans cette news) mais bel et bien la faute du prestataire.
Pour paraphraser Coluche:
Les hommes politiques, j’vais vous faire un aveu, ne sont pas bêtes. Vous vous rendez compte de la gravité ? Ils sont intelligents. Ça veut dire que tout ce qu’ils font, ils le font exprès. Ils y réfléchissent, ils y pensent. Parce que, vous comprenez, si c’était des cons, ça irait tout seul. On dirait : « Bon, beh, c’est des cons. » Nan, nan, nan, nan. Les présidents et les dirigeants des pays qui laissent ce genre de choses arriver c’est des gens qui le font exprès.
#12
Totalement d’accord !
Rasoir de Hanlon ?
#13
Je nuancerais sur les directeurs d’hôpitaux avec les moyens mis à leur disposition pour cette tâche. Mais un cabinet d’avocat n’est pas à la rue comme l’ai un hôpital public. Pour un avocat, il n’y a mon sens aucune raison de ne pas sécuriser des données (surtout qu’ils sont au courant (par la loi, ils doivent faire de la vieille, non ?) et on les moyens) . Sauf à penser que ça n’arrive qu’au autre, mais là ce qui est problématique, c’est les dommages collatéraux.
Si je me fais cambrioler parce que j’ai mis mon train de vie sur FB en public, c’est pour ma pomme. Quand c’est tes données de santé, tu sais que l’Etat n’assume pas sa mission de service publique. Mais quand c’est un privé (et qui a les moyens), il n’y a aucune raison pour ne pas le faire autre que de la bêtise ou un très mauvais calcul de probabilité (sauf que la proba n’est pas de leur domaine, qu’il reste dans ce qui savent faire. [Et visiblement au vu des affaires traitées, il semble y avoir des lacunes en maths et gestion des risques]).
ça n’y changera rien je le sais. Mais ça risque de sacrément embêter des gens. Je ne suis pas pour faire des exemples avec des sanctions, mais vu le potentiel de gravité énorme de cette fuite de données (et d’autres futurs), ils seraient peut-être temps de réformer ce secteur et d’éveiller les consciences en leur faisant peser une épée de Damoclès (comme à d’autres d’ailleurs).
#13.1
Les hôpitaux ont les budgets qu’ils veulent allouer pour beaucoup. Un avocat est un dirigeant comme un autre, ce n’est pas une question de budget. Bref, nous ne sommes pas du même avis :)
Je me suis fait cambrioler, je n’ai pas de réseau sociaux, et pas de belle voiture garée devant chez moi. Une fois de plus, ca n’a rien à voir… C’est d’ailleurs pour cela que n’importe qu’elle forum Cybersécurité commence par “la question n’est pas de savoir si vous allez vous faire attaquer, mais quand”
On ne parle même pas de sanction ! Depuis quand on devrait sanctionner les victimes ???
Surtout que l’article en lien précise “Il rappelle que ses serveurs sont hébergés dans des datacenter avec toutes les certifications adéquates”. Ca vole du niveau de : “Madame, vous venez portez plainte pour viol, haaaa… bah vous étiez en jupe ? Bon… Je vais vous sanctionner, vous n’aviez qu’à mettre un pantalon.”
C’est d’ailleurs également une chose que l’on apprend en cybersécurité. En cas d’attaque, on ne cherche pas le coupable pour l’engueuler (celui qui à cliquer sur le lien de phishing ou autre par exemple). Car c’est une erreur humaine comme ca peut arriver à tous, mais c’est surtout une victime ! Ce n’est pas lui l’agresseur… Généralement cette personne est déjà dans une détresse psychologique et culpabilise assez pour ne pas qu’on le fasse passer pour le mauvais dans l’histoire.
#14
Après, on sait pas non plus si le cabinet a fauté… Peut-être que tout était raisonnablement bien sécurisé et qu’ils ont subis une attaque de type Social Engineering… Et contre ça, tu peut pas grand chose…
Je souhaite beaucoup de courage aux victimes et j’espère vraiment pour elles qu’elles ne subiront pas d’attaques suite à ça (mais j’en doute fortement).
Il y a sûrement des vies qui vont être brisées… 😔
#15
Déjà anonymiser les données ?
Mais je parierai qu’une partie non négligeable des données sont des scans de documents papier.
Du coup l’anonymisation c’est pas aussi simple que crypt(lastname).
#16
De la même façon que ceux qui font du trafic d’organes, d’animaux, d’humains, etc. Il y a des personnes qui sont totalement étrangères à la morale communément partagée.
Dans le cas présent, pour eux, c’est un business comme un autre. Quand on voit qu’il existe même des soldes et promotions sur les contenus piratés, c’est la démonstration qu’ils n’ont pas la même vision des choses que nous.
#16.1
Amha parce-que “la morale communément partagée” est celle la plus adapté a la société tel qu’elle est aujourd’hui.
En gain court-terme c’est l’une des moins efficaces et t’en a pour qui le long terme c’est une succession de courts termes, ça leur laisse le temps de faire plein de conneries…
Ce qui amène un dilemme non résolu sur la confiance :
Vaut-il mieux faire confiance a quelqu’un qui n’a aucune notion de morale et qui ne sait pas nuire au risque qu’un jour il découvre comment, ou faire confiance a quelqu’un qui sait parfaitement nuire mais qui décide de ne pas le faire pour une raison qui nous échappe?
#17
Mais en vrai, comment fais-tu concrètement pour anonymiser tes documents Word et en gardant la possibilité de les lire et de les imprimer normalement ?
#18
Les avocats pensent uniquement juridique, pour eux sécuriser quelque chose, c’est ne pas être responsable en cas de pépin.
J’ai eu des discussions surréalistes avec les RSSI de ma boite avant de comprendre leur raisonnement.