Renseignements sous surveillance

Les bureaux d’avocats et de notaires sont les gardiens des informations de leurs clients. En tant que tels, ils doivent s’assurer que ces renseignements confidentiels ne tom­bent pas entre de mauvaises mains. En font-ils assez?

Depuis la popularisation d’internet, des pirates font des pieds et des mains pour avoir accès à des informations à caractère commercial. Dans la foulée des révélations de l’agent de renseignement Edward Snowden sur les indiscrétions de la National Security Agency (NSA), aux États-Unis, les regards curieux des gouvernements préoccupent de plus en plus.

L’enjeu dépasse la seule surveillance du web pour des raisons de sécurité. Le plus grand risque pour les cabinets juridiques réside dans l’espionnage mené par des gouvernements étrangers ou des groupes qu’ils commanditent.

« Si vous réfléchissez à quels sont les points d’intérêts sur le plan des informations critiques ou confidentielles [de nature commerciale], on peut penser que les cabinets en font partie », souligne Duncan Card, associé et co-dirigeant de la section des technologies de l’information chez Bennett Jones à Toronto.

« À tout moment, une grande firme canadienne mène plusieurs transactions commerciales de front et des informations obtenues illégalement pourraient avoir un impact sur les marchés financiers. Également, des informations confidentielles sur les stratégies des clients, des relations d’affaires […] pourraient être des cibles attrayantes. »

Plusieurs firmes canadiennes ont déjà été victimes de cyberattaques. Entre septembre 2010 et avril 2011, notamment, des pirates originaires de la Chine ont infiltré les réseaux de sept firmes de Bay Street, dans une tentative de faire dérailler la prise de contrôle de 40 milliards de dollars de Potash Corp. par BHP Billington.

En février, la firme de Virginie Mandiant Corp., qui se spécialise dans la cybersécurité, a publié un rapport retraçant une série de cyberattaques sur 141 compagnies dans diverses industries depuis 2006, et qui provenaient de l’unité de Shanghai de l’Armée populaire de libération de la Chine (APT1). Le rapport a défrayé la chronique à travers le monde en raison de l’ampleur de ces opérations. Mais c’est plutôt ce qui n’a pas été publié qui demeure la plus grande source de préoccupation.

« La première chose qu’on oublie au sujet du rapport est qu’il n’est question que d’un groupe, alors que nous suivons la trace de douzaines et de douzaines d’autres à travers le monde. La plupart proviennent de la Chine, mais plusieurs viennent aussi d‘autres pays », affirme Shane McGee, avocat général et vice-président des affaires juridiques chez Mandiant Corp.

Selon Me McGee, les firmes d’avocats ou de notaires portent moins attention à ces enjeux que des entreprises de tailles semblables, mais qui oeuvrent dans des secteurs différents. Pourtant, « un cabinet est un magasin général pour les pirates, dit-il, puisqu’ils peuvent pénétrer dans un seul réseau et obtenir tout ce qu’ils cherchent ».

« Cela, conjointement avec l’accent qui est moins mis sur la sécurité par les firmes juridiques, fait d’elles une belle et grande cible pour les pirates », ajoute-t-il.

Pour rendre les choses encore plus complexes, les juristes ont de plus en plus recours aux nouvelles technologies dans le cadre de leur travail, comme les appareils mobiles et les services d’entreposage de données virtuels (cloud computing). Or, les fournisseurs de ces services, comme Google ou Microsoft, sont souvent la cible de ces attaques.

« J’insiste souvent auprès des bureaux pour qu’ils n’utilisent pas les produits de type cloud comme ceux de Google ou Dropbox, pour la simple et bonne raison que vous n’avez pas de contrôle sur les données », indique Daniel Tobok, directeur de la division de la sécurité chez Telus à Toronto.

« Nous connaissons plusieurs firmes qui y ont recours comme service de sauvegarde, poursuit M. Tobok. Ils mettent tout là-dessus et ils n’ont aucun contrôle sur cette information ou sur l’endroit où elles sont entreposées, et c’est un grand problème. »

Dans la plupart des cas, ces informations sont entreposées sur des serveurs aux États-Unis, ce qui les assujettit au programme PRISM et à la surveillance des communications entre étrangers — incluant celles de Canadiens.

« Les avocats ne réalisent pas la quantité de données qui se trouvent sur des serveurs aux États-Unis », souligne Barry Sookman, associé senior et ancien président de la section du droit des technologies chez McCarthy Tétrault à Toronto. « Même des applications sur des téléphones intelligents qui peuvent lire vos courriels ou traduire du contenu dans une autre langue, ou quand vous utilisez un GPS pour la navigation […], en théorie, toutes les données vont aux États-Unis, et c’est sujet à surveillance par PRISM. »

Même quand ces données sont entreposées au Canada, cela ne signifie pas que ça échappera au regard de la NSA si c’est envoyé en ligne. « Pour les Canadiens, ce n’est pas assez de s’assurer que vous utilisez un fournisseur de services canadien », renchérit Ronald Deibert, professeur de sciences politiques et directeur du centre canadien pour les études sur la sécurité internationale à l’Université de Toronto. « Si vous jetez un coup d’œil à l’infrastructure physique d’internet, presque toutes les communications, même celles qui sont en réseau local, passent par des points de transit aux États-Unis. »

Y a-t-il lieu de se préoccuper si la NSA met la main sur de l’information confidentielle qui provient de firmes ou de ses juristes? Ça demeure matière à débats. « Il est difficile pour des avo­cats individuellement ou des firmes d’évaluer les risques, parce que les opérations de PRISM ne sont pas publiques. Les ordonnances sont confidentielles et les entreprises qui s’y soumettent n’ont pas le droit d’en informer le public, indique Me Sookman.

« Avec le public et les firmes qui ne connaissent pas la nature exacte des risques, ça fait partie du risque lui-même : comment opérer dans un espace où il est difficile d’évaluer les risques? »

Mais s’il est hautement improbable que le gouvernement américain — ou tout autre gouvernement du monde développé qui mène des activités de surveillance pour des raisons de sécurité — utilise ces informations pour en bénéficier financièrement, ces programmes comportent leur part de risques. « Un dossier instructif est l’Affaire Athènes qui s’est déroulée en Grèce et où, pour des raisons crimi­nelles, l’interception légale de conversations intégrées au système cellulaire a été ex­ploi­tée pour faire de l’extorsion auprès d’agents du gouvernement. Cela démontre — quand vous regardez le système qui a été mis en place, les compagnies impliquées et les technologies qui ont été conçues dans le cadre de ces interceptions légales — à quel point nos secrets sont accessibles à des tiers. »

Néanmoins, certains, comme MM. Card et McGee, ne voient aucune raison pour que les firmes ou les juristes s’inquiètent de la surveillance du gouvernement en ce qui a trait aux données confidentielles. « Quand les gouvernements s’impliquent dans la cueillette d’information, c’est fait de manière conforme à la loi », estime Me Card. « Le piratage et l’accès illégal à des données par des entreprises n’a rien à voir avec les activités desquelles parlait Snowden. C’est devenu très confus dans les médias, mais ce sont deux choses très différentes. »

« Comme avocat, ce n’est pas quelque chose qui me préoccupe autant que [la possibilité] qu’un autre gouvernement ait accès à mes informations », ajoute Me McGee. « De savoir que les Chinois pourraient voler ces renseignements et les utiliser contre vous dans un contexte commercial, ça représente un danger d’autant plus important pour n’importe quel cabinet que si c’est votre propre gouvernement qui met la main sur vos données. »

Chose certaine : protéger les renseignements qui leur sont confiés pose un défi croissant pour les cabinets, tandis que les juristes ont de plus en plus recours aux nouvelles technologies. « C’est tout un défi pour les cabinets parce que d’un côté, ils veulent protéger leurs données, mais de l’autre, ils veulent favoriser l’innovation pour que les avocats tirent profit des nouvelles tech­nologies et réduisent leurs coûts tout en étant plus efficace », conclut Me Sookman.