Voilà une publicité dont la Grande Loge de France (GLF) se serait bien passée. Avec ses traditions de discrétion, voire de secret, l'organisation maçonnique apprécie moins que quiconque de voir des milliers de documents internes mis en pâture sur la toile. C'est donc bien naturellement que la GLF a porté plainte pour piratage informatique contre X; un site web héberge depuis le 10 avril environ 6000 documents dérobés à la loge. Le parquet de Paris a saisi l'OCLCTIC (Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication) et l'enquête est en cours. Cette affaire, surnommée "Maçons-papers", en référence aux désormais célèbres Panama Papers relance la question de la protection des données et la sécurité informatique.
M. Daniel Hess, Grand Chancelier de la loge suisse Alpina, nous raconte en quoi cette attaque informatique n'a rien de surprenant.
Cette sécurité informatique concerne-t-elle plus les loges maçonniques que d'autres organisations?
"Les Loges sont de petites associations, où on travaille avec son home computer et il n'est pas difficile d'être attaqué. Les grandes Loges ont des systèmes de sécurité performants, comme toutes entreprises."
"Premièrement, ce sont les membres qui sont responsables de leurs activités. Ensuite, la Loge Alpina ne stocke pas de données personnelles de ses membres, elle n'a qu'une activité de gestionnaire des membres, et donc n'est pas au courant du reste de la vie privée de ses membres."
Qu'en est-il au niveau juridique? La Grande Loge de France porte plainte contre X, pour les motifs suivants: piratage informatique, vol de données et divulgation de données à caractère personnel. Un logiciel espion aurait été en effet retrouvé sur le système informatique de la Loge. Que risque juridiquement quelqu'un pris en flagrant délit?
Maître Antoine Chéron, avocat spécialisé dans les nouvelles technologies, nous répond:
Dans l'hypothèse où le projet de loi pour une République numérique serait en vigueur, le hacker ne pourrait pas bénéficier de l'exemption prévue par ce texte: son action a permis à la diffusion de documents et non la signalisation d'une faille de sécurité à la Grande loge de France."
Mais s'agit-il vraiment d'un piratage? Les sécurités informatiques de la GLF sont-elles si faibles? Rappelons-nous que les Panama Papers ont été rendus possibles par la sécurité informatique quasiment inexistante du cabinet d'avocats Mossack Fonseca.
"Il semblerait que les données extraites n'étaient pas cryptées: cela aurait permis de limiter le risque de fuite de documents. Ceci vient contrer les arguments des partisans de l'introduction de backdoors.
De plus, certains prétendent que l'utilisation du logiciel Cloud Access Security Brokers aurait permis de détecter le vol de données, de faire remonter des alertes et d'enclencher automatiquement des mesures de sécurité.
Si la Grande loge de France a fait appel à un prestataire informatique, ce dernier pourrait voir sa responsabilité contractuelle engagée, pour n'avoir pas garanti un niveau suffisant de sécurité des données."
"Elles ne sont pas plus exposées que les autres personnes morales. […] Il semblerait que de manière récurrente le Cloud soit la faille. L'affaire de San Bernadino avait permis de mettre en avant que malgré le chiffrement des données sur l'iPhone, l'iCloud sur lequel ces dernières sont stockées par défaut permet d'y accéder sans qu'il soit nécessaire d'avoir une clé de déchiffrement."
"Il semblerait qu'il ne s'agisse pas d'une fuite puisque les faits litigieux semblent imputables au hacker du site internet StopMensonges. Il est néanmoins envisageable que ce dernier ait été contacté par un membre de la Grande loge de France."
Que dit le droit français au sujet de la protection des données de ce type? Les Loges sont des associations au sens du Code civil. Cette situation est donc différente du piratage industriel.
"Le Code pénal n'opère pas de distinction selon l'identité de la victime du piratage informatique. Une aggravation des peines a lieu lorsque les actes de piratage informatique ont été réalisés à l'encontre d'un système de traitement automatisé de données mis en œuvre par l'État."
Le gouvernement va-t-il prendre des mesures? Le parquet de Paris va-t-il créer une jurisprudence nouvelle?
"Indépendamment de l'identité de la victime, les faits sont classiques dans ce type d'affaires. La circonstance selon laquelle la sécurité du Cloud était insuffisante pourrait néanmoins jouer en faveur du hacker."
Alors quid?
Beaucoup de théories circulent déjà sur la toile: des conspirationnistes auraient voulu dévoiler l'empire maçonnique du mal, d'autres affirment que c'est une histoire montée par les différentes loges pour la mise en place de lois d'exception, etc. Dénoncer un complot est d'autant plus facile, qu'aucune des parties, que cela soit la Loge, ou la police ne veut donner de commentaire.
Pourrait-on dire que ces "Papers" sont eux aussi un complot monté contre les conspirationnistes? Ce serait une sacrée mise en abîme du complotisme.
Les opinions exprimées dans ce contenu n'engagent que la responsabilité de l'auteur.
