Je suis fréquemment interrogé par des avocates pour mener un audit de la sécurité informatique de leur cabinet. Cela vient bien sûr de mon parcours d’expert judiciaire en informatique, de mon travail comme informaticien responsable de la sécurité du système d’information d’une grande école de commerce, mais aussi du fait que la femme de ma vie exerce avec brio la difficile profession d’avocate. Ses consœurs me contactent donc de temps en temps pour que je les conseille sur leurs usages numériques.
Je me suis dit que cela pourrait intéresser un cercle plus large d’avocates, en particulier les jeunes qui sortent fraîchement diplômées et souhaitent poser rapidement leur plaque.
Comme je suis prudent, je vais commencer par un avertissement : suivre mes conseils se fait intégralement à vos risques et périls. Je ne pourrais pas être tenu responsable des dommages pouvant résulter des recommandations que je donne sur ce blog, ni des conséquences de l’usage de l’informatique que je préconise, dans le passé, le présent ou le futur. Il est fait attribution exclusive de juridiction aux tribunaux compétents de Tandaloor.
Ma première recommandation : faites appel à un informaticien connu et reconnu, de la même manière que vous recommanderiez à un justiciable de se faire accompagner par une avocate pour tout problème juridique. Vous pouvez donc stopper ici la lecture de ce billet, ou continuer, mais seulement si vous êtes curieuse.
Point grammaire : j’utilise à dessein le terme d’avocate plutôt que celui d’avocat depuis le début de ce billet, non seulement parce que l’une d’entre elles est la femme qui illumine ma vie de ses plaidoiries enflammées, mais aussi parce que les femmes sont majoritaires dans cette profession depuis 2009 (source) et que j’ai envie d’inventer une nouvelle règle de grammaire : celle du genre majoritaire. J’espère que vous me passerez cette coquetterie, qui n’a pour seul objectif que d’agacer les trolls qui ne manqueront pas de venir pleurer en commentaire pour défendre la règle dite du “masculin l’emporte sur le féminin”.
Seconde recommandation : chiffrez le disque dur de votre ordinateur.
J’ai commencé par cette question simple, lors de mon intervention à la table ronde des Confluences pénales de l’Ouest 2019 dont le thème était “Justice et secret(s)”: qui dans la salle chiffre le disque dur de son ordinateur ? Seules quelques mains se sont alors levées parmi les centaines d’avocates présentes, et j’ai même entendu quelques unes poser la question “mais ça veut dire quoi chiffrer ?”.
Point définition : Le chiffrement (ou cryptage) est un procédé de cryptographie grâce auquel on souhaite rendre la compréhension d’un document impossible à toute personne qui n’a pas la clé de (dé)chiffrement. Les québecoises définissent ainsi le chiffrement : Opération par laquelle est transformé, à l’aide d’un algorithme de chiffrement, un texte en clair en un texte inintelligible, inexploitable pour quiconque ne possède pas la clé cryptographique permettant de le ramener à sa forme initiale.
Je vous laisse fureter sur les liens pour parfaire votre connaissance du terme et de ses dérivés.
Point terminologie : J’ai pu vérifier que les oreilles des juristes saignent quand elles entendent que la loi stipule, mais les informaticiens tuent un chaton à chaque utilisation du mot cryptage. De même que “le contrat stipule et la loi dispose”, on chiffre les messages et on crypte les chaînes de télévision. Et pour moi, crypter, c’est mettre en crypte.
Chiffrer le disque dur de son ordinateur, c’est donc le rendre inexploitable pour quelqu’un qui ne dispose pas du “sésame ouvre toi”.
Par exemple, en cas de perte ou de vol.
A ce stade de la lecture, avec mon expérience d’enseignant-chercheur basée sur 100% des étudiants de mon cours d’initiation à la sécurité informatique, vous devez être en train de penser : “bah, ça ne me concerne pas, ça ne m’arrivera pas, pas à moi… Si je me fais assez petite, dans toute ma vie professionnelle, jamais je ne perdrai mon ordinateur ou ne me ferai cambrioler.“
J’ai la même statistique pour mon conseil sur les sauvegardes, qui fera l’objet d’un autre billet.
En tant qu’avocate, vous êtes une cible privilégiée. D’une part tout le monde pense que vous êtes riche (alors qu’en fait ce sont les notaires), et d’autre part votre assurance Responsabilité Civile Professionnelle (Complémentaire) ne couvre pas la perte d’image professionnelle quand toutes les données de vos clients seront dans la nature…
Donc chiffrez le disque dur de votre ordinateur.
Comment chiffrer le disque dur de son ordinateur ?
Si vous êtes sous Windows, je vous recommande d’activer BitLocker (par exemple en suivant cet article). Attention, si votre ordinateur est ancien ou dans une vieille version de Windows, il faudra passer au tiroir caisse et acheter un ordinateur plus récent ou installer une version plus récente de Windows. Faites vous aider par un informaticien et sauvegardez vos données auparavant (fichiers, mots de passe, etc.).
Si vous êtes sous macOS d’Apple, activez FileVault (par exemple en suivant l’aide du support Apple). Attention, si votre ordinateur est ancien ou dans une vieille version de macOS, il faudra passer au tiroir caisse et acheter un ordinateur plus récent ou installer une version plus récente de macOS. Faites vous aider par un informaticien et sauvegardez vos données auparavant (fichiers, mots de passe, etc.).
Si vous êtes sous GNU/Linux, félicitation. Vous trouverez beaucoup de tutos sur les différents outils de chiffrement disponibles pour votre distribution, ainsi que l’aide directe de nombreux bénévoles. Pour ma part, mon conseil est simple : sauvegardez toutes vos données et réinstallez votre distribution en cochant l’option “tout chiffrer” ad-hoc lors de l’installation. Quoiqu’il en soit, vous n’aurez a priori pas besoin de l’aide d’un informaticien, ni de passer par le tiroir caisse. Par contre, vous allez galérer avec le support du Cloud des Avocats du CNB qui ne prend pas en compte d’autres OS que Windows ou MacOS… Je vous invite à rejoindre (si pas déjà fait) le groupe “Avocats sous Linux” sur Facebook ou sur Google Groups.
Si vous utilisez un autre système d’exploitation (par exemple NetBSD, FreeBSD, OpenBSD…), vous savez sans doute déjà comment faire, moi pas.
Ce billet commence à être très long, vous avez certainement beaucoup de pain sur la planche, et moi aussi car ma douce et tendre est encore en garde à vue à cette heure avancée de la nuit et qu’il me faut mettre en page ses conclusions.
A bientôt pour la suite de ce billet qui devrait être consacrée aux sauvegardes. SGDZ.
Bonjour,
Pour le chiffrement de disque dur, il y a Cryhod qui marche bien et qui a le bon goût d’avoir un agrément ANSSI, au contraire de Bitlocker.
Cryhod est le produit que j’ai retenu pour mon entreprise et est installé sur mon ordinateur, mais je le trouve un peu trop complexe à installer pour le public ciblé dans ce billet. Il fallait faire un choix parmi beaucoup de solution… J’ai pris la solution native du système d’exploitation quand celle-ci existe.
C’est en application de la même règle du genre majoritaire que tu dis « un informaticien » ? 🙂
Normalement, tous les termes utilisés dans ce billet ont fait l’objet de la même analyse (sauf oubli de ma part) : même “québecoises” 🙂
Bonjour
Perso j’utilise également BitLocker sur mon PC perso et sur mon PC pro.
Par contre j’ai l’impression, en tout cas je sais pas si c’est possible, que c’est tout ou rien. Dès que je branche un support extérieur (clé USB, HD externe) mon PC me demande d’utiliser BitLocker sur ce nouveau périphérique.
Pas de bras, pas de chocolat. Pas de BitLocker pas de copie.
Est-il possible de configurer certains périphériques pour que ceux-ci ne soient pas impactés pas BitLocker et rendre le dépôt de fichiers sur ces supports possible ?
Lore
Avec le chiffrement (disque principal mais aussi des disques de sauvegardes et d’échange) vient la problématique de la gestion des clés.
Bien, mais la partie 2 ?
J’attends… 🙂
Sous l’eau, fatigué, et priorité à la famille… Demandez le remboursement 😉
Et ne pas oublier aussi la qualité du mot de passe qui permettra de déverrouiller son disque dur. Pour ma part, bien que non informaticien mais longtemps juriste d’entreprise (désormais au chômage), je préconise, la méthode avec les dés (oui des vrais dés) pour construire une phrase de passe facile à retenir mais compliqué à “cracker”.
Et pour se souvenir de tous ses mots de passe je conseille aussi le portefeuille de mot de passe. Pour ma part j’ai retenu la solution keepassXC. D’ailleurs j’ai pratiquement arrêté de me creuser la tête à chaque fois que j’ai besoin d’un mot de passe, je demande à keepassXC de le générer. Et comme keepassXC permet ensuite l’autocomplétion des identifiants pour accéder à un site web où l’on a un compte, cela change la vie. Il faut juste un peu de rigueur et d’apprentissage, mais une fois cela passé, cela change la vie de l’internaute et donc fatalement aussi de l’avocate 😉 Avocate qui d’ailleurs une fois l’outil adopté et maîtrisé se demandera comment elle faisait avant !
Autre point aussi fondamental: les adresses mails. Si c’est pour que j’envoie mes pièces et documents sur une adresse gmail ou hotmail, l’avocate m’a perdu comme client. Elle doit la confidentialité à son client. Le cloud act + l’exploitation commerciale des données personnelles rend les outils des gafam incompatibles avec l’activité d’avocate. L’ hébergement est donc aussi un point critique.
Et donc je me permets de faire un petit moment de pub: voyez votre confrère de Poitiers qui a développé, en lien avec la fondatrice de la distribution Linux Mageia son outil de travail : Lisilex
https://descartes-avocats.com/lisilex-la-solution-libre-pour-les-cabinets-davocats/
Mon cher Zythom,
Tu as raison, la sécurité ne se négocie pas.
Pour la règle de grammaire, cela m’a fait bien rire, elles sont tellement là ! (hier encore au JEX à bordeaux, je pense que 80 ou 90 % de la salle d’audience étaient des femmes).
Les disques chiffrés, c’est nécessaire ; les mots de passe compliqués, c’est obligatoire ; le choix du système d’exploitation c’est hautement primordial.
A l’heure où la DINUM proscrit le passage à Microsoft 365 pour les administrations (Circulaire n° 6282-sg du 5/07/21) et où l’UE considère que les systèmes d’exploitation Microsoft ne sont pas fiables en termes de vie privée (arrêt Schrems II), il faut que les avocats se posent la question de la confidentialité des données au regard de l’OS, et qu’ils adoptent surtout le chiffrement systématique des courriels en privilégiant leur propre serveur de messagerie (il faut arrêter de communiquer via les GAFAM, on va en crever…)
Fien à toi. FC
@Frédéric
Bien d’accord avec toi. Précision, pour le mot de passe, surtout celui qui va permettre de verrouiller/déverrouiller le portefeuille de mots de passe (et dans lequel se trouvera le mot de passe du disque dur chiffré pour le cas où on l’oublierait) : le mot de passe peut être une phrase de passe, c’est à dire une liste de mots simples, séparés par des espaces (ou pas) générés totalement aléatoirement.
D’où cette méthode avec les dés. Et si on est totalement parano: on ferme les volets ou les rideaux de la pièce et on évite de dire tout haut les mots qui sortent 🙂 Ou on descend à la cave sans son smartphone 🙂
Ce n’est vraiment pas compliqué. Et si on n’est pas satisfait d’un mot, on peut en générer un nouveau, toujours en jouant avec les dés.
Les explications sont sur wikipedia : https://fr.wikipedia.org/wiki/Diceware
Les mots peuvent être en français ou en anglais. Mais on doit pouvoir trouver des litses dans bien d’autres langues !
Voir notamment la méthode de Mathieu Weber (le lien pointe vers un pdf).
Ou la méthode de l’EFF qui générera des mots en anglais.
8 mots semble être un minimum.
Tu vas me dire: c’est long. Non en pratique. La phrase à la fin tu la connais tellement par cœur sur le clavier que cela va en fait très vite !!! Même sur un smartphone !
Du coup tu te retrouves avec un mot de passe long très simple à retenir. Mais très compliqué à craquer à cause de son niveau élevé d’entropie. Que Zythom me corrige si je dis des bêtises 🙂
En plus keepassXC, lorsque tu lui demande de générer un mot de passe pour un site internet, il te dit si le mot de passe est pauvre, faible, bon, excellent. Il y a quelques jours j’ai ouvert un compte chez un grand fournisseur. Les limitations du site web ont fait que je n’ai pas pu dépasser le niveau “Pauvre”. C’est juste inquiétant !!!!
Pour le smartphone, sur lequel on peut mettre son portefeuille de mots de passe, pour Android, il y a keepassDX. Mais comme je suis sous Sailfish OS j’utilise OwnKeePass. Pour iOS, on doit trouver l’équivalent. Sinon, pour celles qui ne veulent pas se prendre la tête, il y a 1Password. Mais 1/ c’est payant 2/ c’est proprio 3/ c’est centralisé 4/ c’est un service US, donc soumis au cloud act mais 5/ gros avantage : ca synchronise sur tous les appareils.
Et si tu en as le souvenir, j’avais une vieille adresse mail en magic.fr.
La société magic online vient d’arrêter le service pour les particuliers. Je me suis retrouvé avec tous les sites internet dans lesquels j’avais des comptes avec comme identifiant cette adresse chez magic.fr J’ai du modifier mon identifiant sur une bonne trentaine de sites internet. Sans KeepassXC, il m’aurait été impossible de me souvenir de tous.
Enfin, comme j’ai pu le lire également sur ce blog, rien n’interdit au propriétaire du portefeuille de le déposer chez son notaire en donnant les indications à faire sur tous les sites internet “post mortem”.