Les pirates de Lockbit 2.0 ont diffusé les fichiers qu’ils prétendent avoir volés au ministère de la Justice. Mais d’après les documents consultés par Cyberguerre, ces derniers pointent plutôt vers un cabinet d’avocats caennais.

Le 27 janvier 2022, des pirates de Lockbit 2.0 ont revendiqué le piratage du ministère de la Justice en menaçant de publier des milliers de documents qu’ils prétendaient avoir volés. L’attaque n’avait pas été confirmée par les autorités. Le groupe cybercriminel a finalement mis ses menaces à exécution dans la nuit du 1 au 2 février 2022, mais les documents consultés par Cyberguerre laissent penser que ce n’est pas le ministère de la Justice, mais un cabinet d’avocats qui a été touché.

Une diffusion précoce

Les opérateurs du ransomware Lockbit 2.0 menaçaient initialement de publier ces documents plus tard en février. On ne sait pas ce qui a pu les pousser à changer leur calendrier. Suite à la diffusion des fichiers, plusieurs comptes spécialisés comme Defend Intelligence se sont rapidement interrogés sur la nature de cette fuite.

L’ingénieur en cybersécurité derrière le compte Twitter @OreoCSGO fait partie de ces observateurs attentifs qui ont épluché les documents : « Ça m’a toujours intéressé, j’ai fait pareil pour d’anciens leaks comme celui de Twitch. J’aime bien fouiller pour essayer de minimiser l’impact de ces leaks qui peuvent être destructeurs entre de mauvaises mains », déclare-t-il à Cyberguerre. Il explique également avoir averti les victimes, qui n’étaient alors pas au courant.

Des fichiers qui pointent vers un cabinet d’avocats

Cyberguerre a pu consulter une partie des documents qui ont fuité, et ces derniers pointent explicitement vers un cabinet d’avocats de Caen. On y retrouve des décisions de justice, des fichiers administratifs, mais aussi des documents beaucoup plus sensibles. Des contrats de travail d’employés qui ont effectivement travaillé dans le cabinet (d’après son site) ou encore des photos de documents d’identité. Autant de fichiers qui contiennent des données personnelles sensibles, et que des cybercriminels pourraient réutiliser.

Le pire reste peut être un fichier texte, dans lequel on retrouve une dizaine de mots de passes et d’identifiants en clair. Certains sont particulièrement sensibles : un compte bancaire, et des identifiants pour se connecter au logiciel métier des avocats du cabinet, qui permet notamment de modifier des procédures en cours. Le stockage de mots de passe de cette manière est à proscrire, justement pour éviter ce genre de vols dont les conséquences peuvent être gravissimes. Utiliser un gestionnaire de mots de passe est une mesure d’hygiène informatique qui préserve de ce genre de fuites.

Les autorités restent prudentes

Contacté, le cabinet d’avocats ne souhaite pour l’instant pas commenter l’incident. D’après les informations de Cyberguerre, les victimes seraient en lien avec les autorités pour gérer cette fuite de données. Malgré nos sollicitations, le ministère de la Justice, le Parquet de Paris et le commandement cyber de la gendarmerie, chargé de l’enquête, n’ont pas souhaité communiquer pour le moment.

Ce n’est pas la première fois que Lockbit 2.0 survend des données volées, entre exagération et approximation. Ces mêmes cybercriminels avaient revendiqué plus tôt en janvier, le vol de données appartenant à Thales, mais les données diffusées étaient vraisemblablement de faible valeur. Ici, aucun fichier consulté par Cyberguerre ne tend à confirmer la piste d’une fuite qui viendrait du ministère de la Justice.

Ce n’est pas la première fois que le secteur judiciaire se heurte à la cybercriminalité. En novembre 2021, plusieurs cabinets d’avocats s’étaient fait dérober des dossiers judiciaires. Des éléments de l’enquête sur l’attaque terroriste qui a visé Charlie Hebdo en 2015 ont notamment été proposés à la vente et diffusés en ligne.