Le récent rapport « Etat de la menace informatique contre les cabinets d'avocats » de l’Anssi est particulièrement éclairant sur les risques qui pèsent sur une profession susceptible d’être ciblée par des individus malveillants. Depuis 2017, l’ANSSI a constaté la compromission d’une douzaine de cabinets d’avocats français au moyen de ransomwares (rançongiciels), dont la majorité par le redoutable groupe russophone Lockbit. Des chiffres très probablement sous-évalués, puisque les cabinets d’avocats ne font pas partie des opérateurs d’importance vitale (OIV) ni des opérateurs de services essentiels (OSE). Mais la finalité lucrative des acteurs étatiques reste marginale selon l’Anssi qui cite cependant des exemples récents démontrant que des cabinets d’avocats français pourraient être la cible d’opérations opportunistes conduites par ce type d’attaquants.
Début 2022, les opérateurs du rançongiciel Lockbit 2.0 ont annoncé la publication de documents volés à un cabinet d’avocats français dont le SI avait été chiffré. Parmi les types de données figuraient des contrats de travail, des photos d’identité, des identifiants et mots de passe. De quoi accéder à un compte bancaire et au réseau privé virtuel des avocats (RPVA).
Quand les motivations de certains hacktivistes ne sont pas lucratives elles peuvent s’avérer d’intérêt public. L’affaire des Panama Papers en 2016, contre les cabinets d’avocats panaméen MOSSACK FONSECA et bermudien APPLEBY, avec le vol de plusieurs dizaines de millions de documents, a détaillé les pratiques d’évasion fiscale de très nombreux clients parmi lesquels Michel Platini, Lionel MESSI, ou le secrétaire général actuel de l’UEFA Gianni Infantino.
Les données sensibles volées dans les cabinets d’avocats et autres présentent aussi un intérêt financier évident, la compromission d’un compte de messagerie GMail était vendue environ 450 euros en 2021 sur le Darknet selon l’Anssi.
Une copieuse liste de recommandations de l’Anssi à appliquer réellement
Pas moins de 30 conseils sont disponibles dans le rapport de l’Anssi, depuis l’analyse de risques intégrant l'ensemble des prestataires informatiques jusqu’à la mise en place de l’impression sécurisée en passant par l’utilisation d’un logiciel coffre-fort des mots de passe. La plupart de ces conseils sont de bon sens comme le fait de ne pas utiliser sa messagerie professionnelle dans un but personnel et vice-versa ou la non-utilisation du même mot de passe pour tous les comptes. Au minimum, il faut distinguer les mots de passe à usage professionnels des mots de passe personnels. D’autres recommandations sont plus techniques, comme le chiffrement systématique des données sensibles stockées avec des logiciels tels Zed, Kleopatra PGP, ZIP chiffré, etc. quel que soit l’emplacement de stockage de ces données : poste de travail, serveur local, NAS, cloud, etc.Bien entendu, la sauvegarde régulière hors-ligne est fortement recommandée sur un support de stockage tel qu’un disque externe USB ou mieux encore, dans un coffre physique pour les documents les plus sensibles. Il ne faut jamais oublier que la sauvegarde des informations reste le parachute ultime en cas de chiffrement des données par les pirates.