Celui qui aurait dû être plus discret aux prud’hommes
Le hack des boîtes mails a été découvert après la présentation d'une pièce confidentielle dans un dossier de licenciement.
Bonjour !
Bienvenue dans ce cinquième épisode de Pwned. Ce week-end, on va revenir sur une affaire très proche de chez nous. Mais tout d’abord, pour ceux qui lisent le post sur le site ou qui ont reçu ce mail par transfert, voici le lien pour vous inscrire:
Alors après vous avoir parlé il y a deux semaines des mixeurs de bitcoin (il y aura au moins un autre épisode sur ce sujet), on va cette fois-ci revenir à des choses plus basiques.
J’ai justement en mémoire une histoire intéressante dont j’avais parlé dans les colonnes de La Lettre A, il y a neuf mois. C’est un dossier que je trouve instructif car il nous rappelle que:
1) ce ne sont pas forcément des éléments techniques qui dévoilent l’existence d’une intrusion;
2) le piratage informatique est bien souvent l’œuvre d’un insider;
3) et que nombre de gadgets numériques sont avant tout des espions en puissance.
Cela fait beaucoup de choses, mais reprenons les éléments dans l’ordre.
Au printemps 2020, ça ne tourne pas vraiment rond au Conseil national des barreaux (alias le CNB), un organisme très sérieux qui représente les 70 000 avocats français.
La structure doit gérer d’importants problèmes managériaux. En interne, l’ambiance est délétère. Les uns parlent de harcèlement, les autres de surcharge de travail, bref, ça ne va pas.
Ces très fortes tensions qui amènent cette organisation à licencier un manager. On ne se prononcera pas ici sur le bien fondé ou non de cette décision. Ce qui nous intéresse ici, c’est qu’à travers ce licenciement, l’organisation de juristes va découvrir qu’elle a été piratée !
Que s’est-il passé? Le licenciement étant contesté, rien d’étonnant donc à ce que l’ancien salarié lance une procédure aux prud’hommes. Très classiquement, il y a une séance de conciliation.
Le but du jeu de cette phase est de tenter de trouver un accord, après avoir exposé leurs arguments. Mais dans le lot des pièces fournies par le manager, il y a un document, une lettre de l’inspection du travail, qui étonne la partie adverse.
L’ancien salarié ne devrait tout simplement pas être en possession de cette lettre. Bon, en tant que journaliste, je peux vous le dire. Nous sommes sans cesse destinataires de documents qu’on ne devrait pas lire, mais cela ne fait pas de nous des hackers en puissance. Tout simplement parce que nos sources estiment que nous devons en prendre connaissance pour telle ou telle raison.
Mais je vous rappelle que dans l’affaire qui nous intéresse ce soir, il y avait alors d’importantes tensions internes. Ce qui explique que l’hypothèse d’un piratage informatique est aussitôt prise très au sérieux.
A raison, car des investigations techniques montrent qu’il y a eu un accès frauduleux aux boîtes mails de certains dirigeants. La grosse tuile. On parle quand même d’une organisation d’avocats, une profession qui manipule régulièrement des pièces confidentielles.
Les modalités du piratage sont rapidement identifiées. Et devinez quoi? Tout est à cause de l’anodin logiciel de gestion des salles de réunion. Le genre de gadget numérique, qui paraît pas franchement utile, et qu’on oublie aussitôt qu’on s’en est servi.
En gros, les investigations ont montré que le compte technique du logiciel de gestion de salle de réunion était paramétré de façon à pouvoir rediriger le contenu de certaines boîtes mails.
Il n’y a donc pas eu de hacking élaboré, avec l’installation d’un cheval de Troie, ou un truc comme ça. Non, ici, il a juste suffi de faire basculer un paramètre dans le mauvais sens pour permettre l’espionnage de plusieurs boîtes mails. C’était aussi simple que cela, mais encore fallait-il le savoir.
A posteriori, il n’y a rien de très surprenant. Avec ce genre de logiciel, on peut bloquer un créneau d’une salle, et l’ajouter automatiquement à son agenda. Pour cela, il faut bien qu’il y ait une sorte de passerelle vers le compte de messagerie et d’agenda.
De la même façon, vous ne signez pas au départ pour que telle ou telle extension sur Chrome puisse avoir accès à votre vie privée. Mais dans la pratique c’est finalement un risque très concret.
Dans l’affaire qui nous intéresse, la faille ouverte par ce mauvais paramétrage avait été signalée sur un post de Microsoft 365 (ce n’est pas le lien partagé mais ça doit s’en rapprocher).
Un message destiné à informer les utilisateurs de ce type d’outils sur la bonne façon de gérer l’outil. Un message qui n’est justement pas passé inaperçu du prestataire en charge de la sécurité informatique.
Vous l’avez deviné, c’est lui qui a confessé avoir fait la manipulation malveillante. Et ce plusieurs mois après avoir signalé la faille à son manager. Celui qui s’est fait licencié plus tard. Au fait, il n’y a pas un slogan du genre “Never trust a infosec”?
L’apprenti enquêteur de la Stasi a ensuite rassemblé sa moisson dans un volumineux fichier pdf d’une centaine de pages intitulé “Conversations privées”. Plutôt effrayant, non?
A l’issue de l’audience de jugement, les deux prévenus ont été tous deux condamnés à six mois de prison avec sursis. Alors je pense qu’ils ont eu la chance de bénéficier d’une peine assez clémente. Le parquet avait demandé deux fois plus.
Pourtant, on ne peut pas dire que la défense avait vraiment marqué des points. Le responsable du piratage avait expliqué benoîtement avoir juste voulu donner un coup de main à son ancien manager.
Ce dernier avait lui assuré n’avoir rien demandé. Il indiquait également n’avoir rien consulté. Ce qui est moins compréhensible au vu de l’origine de la découverte de l’affaire, mais bon.
On peut supposer que les dommages finalement limités de ce piratage et le profil bas des deux prévenus ont joué en leur faveur. Visiblement, tout le monde était pressé de tourner la page. Et promis, le fichier pdf a été effacé et les secrets bien gardés.
Au fait, pour votre prochaine réunion? Vous passez plutôt un coup de fil pour réserver la salle, non?
A quinze jours pour une nouvelle histoire,
Bonne soirée,
Gabriel
Relecture: Mnyo
PS: L’histoire vous a plu? Pour me payer une bière - par exemple une Batignolle - c'est ici.
Sources:
Comment le CNB s'est pris les pieds dans son "e-barreau"
Les missions du Conseil national des barreaux
Conseil de prud'hommes (CPH) : déroulement d'une affaire
Piratage de compte, que faire ?
Quelles applications pour préparer des réunions et réserver des salles ?
Vie privée : 200 extensions de navigateurs ouvrent l’accès à des données privées