Opinions

Une opinion d'Adrien van den Branden et Thomas Vanderstraeten, respectivement avocat et mathématicien-informaticien (1).



Entre ce bar branché près de la porte de Namur rempli d’avocats des cabinets environnants et un rachat de société qui a tourné au fiasco, il y avait un hacker. Les professionnels du droit ne sécurisent pas assez leurs informations et leurs échanges.


Jeudi soir, les bars branchés près de la porte de Namur s’animent, remplis d’avocats des cabinets environnants. Au milieu de la nuée, Adrien, professionnel en droit des affaires, travaille sur une transaction importante depuis un comptoir. La transaction porte sur le rachat d’une dizaine de filiales belges d’un groupe bancaire coté en bourse. Adrien, qui s’est connecté au Wi-Fi du bar, consulte le site internet du Moniteur belge pour analyser les dernières publications des filiales et finaliser le dossier de la transaction. Vers minuit, Adrien quitte le bar, exténué par sa longue soirée de recherches.

Le lendemain, les confrères d’Adrien l’accueillent avec une mauvaise nouvelle : la transaction de rachat n’aura pas lieu. Les actions des filiales belges du groupe bancaire ont subi une forte volatilité lors de l’ouverture des marchés ce matin. Le bruit court qu’un informateur aurait révélé des informations privilégiées sur la nature de la transaction et notamment les noms des filiales impliquées. Le potentiel deal a aussitôt capoté… Adrien sait-il seulement qu’il est malgré lui à la source de ce fiasco, à cause d’une faille technique du site du Moniteur belge ?

Chronique d’un hack prévisible

Car ce sont bien les recherches de l’avocat sur le Moniteur belge qui ont laissé filtrer des informations privilégiées. Si le contenu de ce site gouvernemental de référence est bien public et inoffensif, il n’en va pas autant des sujets des recherches de ses utilisateurs. En effet, le simple fait de savoir qu’un avocat s’intéresse de près à l’historique d’une entité légale peut en révéler beaucoup sur les intentions de cet avocat et, partant, de ses clients. Cela est d’autant plus vrai dans les cas de fusions-acquisitions où la cible d’une acquisition doit longtemps être maintenue secrète, tandis que les avocats de l’acquéreur l’analysent dans ses moindres détails.

Le site du "Moniteur" sans protection

Mais comment les recherches d’Adrien ont-elles été mises au jour ? C’est malheureusement via un stratagème très simple. Un hacker non identifié (appelons-le Thomas) s’est facilement renseigné sur les lieux fréquentés par les professionnels du droit. Il s’est ensuite procuré en toute légalité et pour moins de 100 euros un appareil d’interception de connexions Wi-Fi. Une fois dans le bar, Thomas a activé l’intercepteur et fait transiter l’ensemble du trafic Internet d’Adrien par son appareil. Si les interactions d’Adrien avaient été encryptées au moyen d’une connexion HTTPS (comme sur la majorité des sites modernes, qui arborent un petit cadenas à côté de leur addresse), Thomas n’aurait intercepté qu’un charabia indéchiffrable. Malheureusement pour Adrien et pour les autres citoyens belges, le site du Moniteur ne dispose pas de cette protection élémentaire, et le hacker a récolté dans tous leurs détails les recherches effectuées par Adrien. Une fois en possession des informations désirées, le hacker les a simplement revendues au plus offrant - avec les conséquences que l’on connaît.

Une meilleure sécurité de l’information

Cette mésaventure s’est-elle réellement produite ? Que ce soit le cas ou non, cette histoire est source de deux enseignements critiques. Premièrement, la justice belge doit d’urgence intégrer la sécurité de l’information dans son ADN. Aujourd’hui, les informations transmises entre l’ordinateur d’un particulier et le site web du Moniteur belge ne sont pas sécurisées. La mise en place d’une connexion HTTPS est donc une démarche essentielle, qui constitue un premier pas vers plus de sécurité alors que la cybercriminalité n’a jamais été aussi prévalente.

Deuxièmement, Adrien, comme la plupart des avocats et autres professionnels du droit, n’est pas formé à la sécurité de l’information. Ni l’université, ni le barreau, ni son cabinet ne lui ont appris qu’il prenait un risque en accédant à des informations sensibles sur un réseau Wi-Fi accessible publiquement. Il n’a pas appris non plus que les informations transmises au travers d’un site non sécurisé pouvaient être interceptées par des personnes malintentionnées.

La justice doit s’armer contre la cybercriminalité, tout en montrant l’exemple aux citoyens. Cet effort passe par des mesures simples, comme la sécurisation des échanges sur les sites web des institutions judiciaires ou gouvernementales. Il passe aussi par la formation des avocats (et autres professionnels du droit) à la sécurité de l’information. Faute de quoi, des histoires telles que celle d’Adrien et Thomas risquent de se multiplier.

(1) Cofondateurs de Law is Code

Titre original : "Le 'Moniteur belge' m’a hacker"