Le Blog de Nathalie KERDREBEZ

MOTION COMMUNE AUX BARREAUX

DE SEINE-SAINT-DENIS ET DU VAL D'OISE

LUNDI 21 MARS 2011

Les barreaux de la Seine-Saint-Denis et du Val d'Oise, réunis en conseil de l'ordre commun en date du lundi 21 mars 2011, ont décidé de voter la motion dont les termes suivent :

- Tenant compte de la nécessité pour tout avocat de s'abonner au Réseau Privé Virtuel des Avocats (RPVA) mis en place par le Conseil national des barreaux, via la plateforme e-barreau, pour se connecter au Réseau Privé Virtuel de la Justice (RPVJ) qui assure la liaison électronique avec les juridictions.

- Constatant l'obligation imposée à chaque avocat, par le Conseil national des barreaux de s'équiper d'une clé cryptographique lui permettant de s'identifier et pour chaque cabinet d'un boîtier dénommé "RSA" - Routeur Sécurisé Avocat - développé par la société commerciale Navista, pour se connecter à la plateforme e-barreau pour un coût mensuel au ler janvier 2011 de 26 euros,

- Constatant la dérogation dont bénéficient les avocats du barreau de Paris, qui leur permet de se connecter avec la seule clé, sans nécessité du boîtier RSA, et SANS coût direct pour le cabinet,

- Constatant l'expérience menée par le barreau de Marseille ayant conduit à l'expertise de l'Union nationale des Carpas puis de Monsieur Nathan HATTAB, expert près les cours d'appel de Paris et de Versailles,

- Vu le rapport de Monsieur Nathan HATTAB, mettant en exergue les carences du système imposé par le Conseil national des barreaux et notamment l'absence de certification de la société Navista par l'Agence Nationale de Sécurité des Systèmes d'Information,

- Constatant l'absence de suites données par le Conseil national des barreaux aux interrogations légitimes d'une partie de la profession sur la nécessité d'un système unique pour l'ensemble des avocats.

- Vu les inquiétudes légitimes des avocats face au risque de violation du secret professionnel et de la confidentialité des données.

- Vu l'absence récurrente de réponse du Conseil national des barreaux au sujet des contrats qui le lient avec Navista,

- Vu les difficultés auxquelles se heurtent quotidiennement les confrères équipés du boîtier RSA pour se connecter et l'insuffisance de l'assistance technique du Conseil national des barreaux, qui renvoie régulièrement les confrères vers leur propre informaticien, vers les services informatiques des juridictions, voire des services de la chancellerie,

- Vu la différence de traitement injustifiée entre les avocats inscrits au barreau de Paris et les autres.

DEMANDENT :

- Au Conseil national des barreaux - organe représentatif de la profession - de mettre en place dans les meilleurs délais, un système unique pour l'ensemble des avocats, géré par l'Union nationale des carpas,

A défaut les ordres soussignés se verront contraints de cesser la collecte des cotisations du Conseil national des barreaux.

Il est venu le temps de confronter la pensée censurée de notre confrère à celle de Messieurs HATTAB et AYMAR qui ont cosigné le rapport d'audit du 9 juin 2010.

Trois questions sont posées à nos experts :

NAVISTA trop cher ?

Depuis avril 2010, un nouvel accord a permis de réduire le montant payé par CNB.COM à NAVISTA. La redevance mensuelle du boitier RSA est ainsi passée de 45 à 35 euros HT et passera à 30 euros HT à partir de janvier 2011.

La différence entre le montant payé à NAVISTA et celui payé par le cabinet d'avocats est pris en charge par le CNB. Page 28 du rapport

Le déploiement du RPVA soulève de nombreuses questions...

Face à ses questions, nos deux experts n'ont pas trouvé de réflexion globale, ni d'analyse détaillée du plan organisationnel, mais une réponse construite autour de l'adoption de moyens techniques.

Ce manque est d'autant plus frappant que le projet engage la profession jusqu'en 2014 dans un financement évalué à près de 10,7 M euros HT. Page 41 du rapport

Dans ces conditions de double emploi, de valeur ajoutée sécuritaire conditionnée à des mises à niveau des cabinets hors du périmètre du projet RPVA et d'absence de maîtrise contractuelle, la justification économique du réseau virtuel à base de boitiers RSA dans tous les cabinets semble problématique à Messieurs HATTAB et AYMAR. Page 46 du rapport

Insuffisance de NAVISTA ?

Le protocole NTS de NAVISTA a fait l'objet d'une déclaration mais n'a pas encore été soumis à la certification. Tant que cette certification par l'ANSSI n'a pas été obtenue, son intégrité doit être abordée avec précaution. Page 15 du rapport

Le dispositif Firewall-VPN mis en oeuvre par NAVISTA est limité s'il n'est pas complété par l'intervention d'un prestataire informatique.

Le firewall NAVISTA n'a pas encore reçu de certification émanant d'une autorité indépendante. Page 21 du rapport

NAVISTA a certes la capacité de s'introduire dans les cabinets d'avocats mais elle peut être encadrée si le cabinet adapte ses dispositions pour la sécurité (isolation du boitier NAVISTA, restriction des droits des utilisateurs anonymes sur le réseau et les dossiers partagés, etc.). Page 26 du rapport

A ce jour NAVISTA n'a présenté aucun élément de certification, tant sur le protocole que sur l'intégration des composants informatiques ou l'organisation de gestion des boitiers qu'elle met en place. Page 48 du rapport

Opacité de NAVISTA ?

Dans l'ensemble NAVISTA apparaît comme un partenaire proactif du CNB. Il est intéressé au succès de son offre auprès des avocats et met en oeuvre un effort global.

En revanche il est préoccupant que l'ensemble de ce bon fonctionnement ne soit encadré par un contrat précis entre le CNB et NAVISTA et ne repose que sur l'intérêt commun perçu par les deux parties.

Nos experts relèvent au passage que la sélection de NAVISTA n'a pas résulté d'un appel d'offre. Page 40 du rapport

En fait, il suffit de lire un petit rapport de 66 pages pour prendre conscience qu'un matin de décembre la blogosphère avocats.fr a supprimé, à la demande d'un prestataire de service, un article rédigé par un confrère qui avait osé partager son analyse pertinente et juste sur un système trop cher, insuffisant et opaque.

Mais qui est la blogosphère avocats.fr ?

Je poursuis les préliminaires en m'intéressant en premier à la plaignante.

Comme tous mes confrères je suis attachée aux droits de la défense et aux droits des victimes.

Dans notre affaire, nous sommes en présence de deux victimes, une personne morale et son dirigeant qui nous avertissent avoir été dénigrés voire insultés.

Il faut donc rechercher les allégations dénigrantes ou insultantes dans les articles censurés.

Donc, j'examine avec beaucoup d'attention la pièce à conviction n° 1 :

NAVISTA trop grand, trop cher, insuffisant et opaque

* Par tercero le 13/06/10

"Telle est la conclusion que l'on doit tirer du rapport HATTAB qui a enfin été publié vendredi 11 juin 2010 et diffusé à tous les avocats via le site du CNB.

Rappelons tout d'abord ce que veut dire "RPVA" : Réseau Privé Virtuel des Avocats. Il s'agit d'un "système" qui permet l'échange de données sécurisées. Actuellement, trois "protocoles" permettent de réaliser ce "système" : le protocole NAVISTA du CNB, qui passe par un VPN (virtual private network), le protocole HTTPSdu Barreau de Paris, et, si j'ai bien compris, le protocole HTTPS + VPN du Barreau de Marseille.

La note de synthèse publiée par le CNB entretient la confusion entre le RPVA et NAVISTA, ce qui revient à assimiler le transport aérien avec Air France (alors que nous pouvons choisir Easyjet, Iberia, ou nous louer un jet privé), ou bien encore les échanges de courriels avec Hotmail (alors que nous pouvons choisir Outlook, Thunderbird, Gmail, Yahoo etc...). Cette démarche est malhonnête et doit être critiquée.

Reprenons le plan de la note de synthèse du CNB, qui a le mérite d'aborder les thèmes qui nous intéressent en termes de sécurité des échanges électroniques en notre qualité d'avocats.

- Nécessité de mise en place d'un protocole de sécurité pour les échanges entre les avocats et les acteurs de la justice : ok, rien à redire.

- L'accord avec la Chancellerie : "Le 4 mai 2005, le Ministère de la Justice a signé avec le Conseil national des barreaux une convention lui donnant mission de mettre sur pied un réseau informatique visant à « l'échange (...) des données utiles à la gestion des procédures civiles et pénales » . Cette convention a été renouvelée en 2007. A ce jour, le Conseil national demeure seul investi par la Chancellerie du déploiement national de cet outil." Il est logique que ce soit le CNB qui soit investi de cette mission, puis qu'il est censé représenter la profession au niveau national. Par contre, l'affirmation selon laquelle "le CNB est le seul organisme investi par la Chancellerie pour le déploiement national de cet outil" doit être précisée. En effet, le Barreau de Paris, avec l'accord du CNB, a déployé son propre protocole pour accèder au système du RPVA qui est fondé sur une architecture exclusivement HTTPS.

- Offres concurrentes : c'est là où l'amalgame entre RPVA et NAVISTA démarre. La note de synthèse du CNB indique : "En dehors du RPVA, aucune offre nationale n'est à ce jour disponible." Rappelons que le RPVA n'est pas une offre, mais un réseau sécurisé d'échange de données électroniques. Effectivement, un seul RPVA existe légalement en France et c'est tout à fait normal. Par contre il existe trois types de protocoles qui permettent actuellement d'avoir accès au RPVA : le protocole NAVISTA, le protocole parisien, et le protocole marseillais.

- Sécurité informatique et profession d'avocat : La note de synthèse rappelle que le niveau de sécurité des échanges électroniques de l'avocat doit être supérieur à celui de l'utilisateur d'internet lambda. Le CNB indique : "Toutefois, ce niveau de sécurité n'est pas suffisant. [...] Le caractère sensible de ses activités fait de lui une cible privilégiée pour des intrusions délibérées et ciblées dans son système, plus élaborées que la malveillance numérique commune."

Ici encore, il est nécessaire de préciser de quelle sécurité on parle. Il y a d'abord la sécurité des échanges entre avocats et entre les avocats et la Justice. C'est-à-dire, l'authentification électronique de la transmission des données entre les avocats et les acteurs de la Justice. C'est l'objet unique du RPVA. Ensuite, il y a la sécurité informatique du stockage des données des avocats et la protection contre le piratage. C'est ici que le CNB reprend la critique principale du rapport HATTAB à l'égard du protocole NAVISTA (il est insuffisant) sans en tirer les conséquences et instille une dose d'hystérie sécuritaire qui correspond bien à l'air du temps, mais qui ne résulte nullement du rapport HATTAB et qui ne repose sur aucune donnée vérifiable. En effet, les attaques électroniques dont un avocat peut être la cible, ne sont pas plus élaborées que la malveillance numérique commune. Nous ne sommes pas le Pentagone tout de même !

Le CNB affirme péremptoirement : "L'audit des trois systèmes rend manifeste que l'offre du Conseil national des barreaux constitue la solution répondant le mieux aux exigences de sécurité". C'est faux ! Voici ce qu'indique le rapport HATTAB (page 41 "Analyse de la situation générale" :

Sur le RPVA :

"Nous retenons que l'engagement de la profession vis-à-vis de la chancellerie est d'organiser une communication et une authentification sécurisée avec les services du greffe.

Ce contrat minimum est assuré par l'utilisation de certificats sur crytoprocesseurs, qui garantissent l'authentification sur les services du greffe et sécurisent la mise en place du canal sécurisé avec la plateforme relais qu'est e-Barreau.

Ce dispositif fait consensus et les trois solutions, dans les grandes lignes satisfaisantes,en assurent la prise en charge".

Sur la sécurité du stockage des données des avocats et de leur transfert :

C'est sur ce point que le CNB est sensé proposer une "offre" plus sécuritaire que les systèmes concurrents. Toutefois, je remarque que les dits "concurrents" n' "offrent" rien car cet aspect (la sécurité du stockage et la protection contre le piratage des transferts) est totalement hors RPVA. Ce n'est absolument pas requis par les accords avec la Chancellerie et n'est donc pas nécessaire pour la communication avec les greffes.

Une offre chère :

C'est parce que le CNB veut nous imposer avec le RPVA la "Rolls" de la sécurité (alors que notamment les gros cabinets d'avocats en ont déjà et que les Parisiens n'en veulent pas) que l'"offre" du CNB est si chère. Cette "offre" est disproportionnée à nos besoins en termes de sécurité (nous le verrons en détail plus bas) et cette disproportion rend le "RPVA" version CNB beaucoup trop onéreux. A cela s'ajoute le fait que le coût qui devrait être reparti entre tous les avocats de France, n'est supporté que par la moitié d'entre eux.

Le rapport HATTAB établi ainsi que suit le coût mensuel des différentes "offres" par avocat (pages 27 et suivantes) :

- CNB Navista : entre 14 euros et 8 euros

Ce calcul se fait sur la base de 2700 cabinets équipés en 2010 et la projection de 7000 cabinets équipés en 2014. Dans le calcul économique du CNB, seuls 22000 avocats sur 48000 sont pris en compte. C'est à dire que pour le CNB, le Barreau de Paris conservera son système.

- HTTPS Paris : 0,38 euros pour 20.000 avocats

- Cisco Marseille : 1,29 euros pour 1.000 avocats

Les chiffres parlent d'eux-mêmes...

Une offre disproportionnée qui provoque des insuffisances en terme de sécurité

Le rapport HATTAB analyse ainsi que suit l'impact sécuritaire du système NAVISTA (page 42) et conclut à son insuffisance, ce que la note de synthèse du CNB essaye de camoufler en tronquant la conclusion de l'audit :

Ce dispositif HTTPS plus Certificat d'authentification [solution parisienne] n'est pas inviolable. Des attaques sont possibles, elles nécessitent des moyens importants (plusieurs jours d'expert). Elles laissent aussi des traces sur les serveurs si les moyens de surveillance adéquats ont été mise en place et son exploités. Ces traces permettent de valider ou d'invalider une éventuelle contestation de l'authentification.

[Je remarque que l'expert indique qu'il faut "plusieurs jours d'expert" pour pouvoir pirater une connexion sécurisée par le système adopté à Paris et que ce piratage laisse des traces que l'on peut remonter. Comme je le disais, nous ne sommes pas le Pentagone et, mis à part les gros cabinets d'avocats avec des dossiers qui peuvent intéresser l'espionnage industriel, je ne vois pas un pirate passer ses journées à essayer de nous extorquer des informations].

L'amélioration mise en place par le CNB consiste à encapsuler le canal HTTPS au sein d'un tunnel VPN. Si le VPN est bien constitué, cette amélioration rend la communication quasiment "inviolable". Elle introduit aussi une séparation des clés : la clé RSA du VPN sert à sécuriser le transport, la clé du certificat sert à sécuriser l'authentification.

Cette amélioration, si elle est en première approche bienvenu, conduit un attaquant, expert, à reporter ses efforts sur des cibles plus faciles que sont le "réseau" du cabinet ou le serveur.

Ainsi vouloir améliorer la sécurité du dispositif Https+Certificat, c'est s'engager dans une course à la sécurité qui va engager tout l'écosystème dans lequel s'inscrit cette liaison.[...]

Sans une coordination globale des différents éléments du dispositif, il nous semble que le dépliement des boitiers RSA ne suffira pas à améliorer la sécurité générale de l'accès et de l'authentification"

Une offre de services opaque

Le CNB poursuit une synthèse tronquée de l'audit de Monsieur HATTAB en affirmant : "Cet audit, resituant le débat technique dans une perspective économique, souligne enfin que l'exigence du RPVA en matière de sécurité répond aux grands enjeux de compétitivité auxquels la profession doit faire face : « La bonne utilisation des outils documentaires peut permettre de gagner en sécurité et en productivité. Elle permettrait à la profession d'avocats de rester compétitive par rapport aux évolutions du paysage juridique français et européen. Des solutions techniques sont envisagées par le Conseil national pour couvrir certaines des préoccupations de la sécurité des données [...]. » (p. 44)"

Toutefois, le CNB se garde de révéler la conclusion :

"Nous ne doutons pas de l'intérêt potentiel de ces services.

Nous n'avons cependant pas eu de description précise de ces télé-services, de leur coût, de leur calendrier, de leur positionnement par rapport aux offres du marché existantes aujourd'hui et à court terme, et de la liberté de choix des cabinets vis-à-vis de ces téléservices. Il nous est donc difficile de nous positionner sur leur intérêt ou leur adéquation au besoin de la profession."

Le CNB affirme enfin que le rapport d'audit indiquerait que NAVISTA serait la solution adéquate pour les petits cabinets : « Dans ce contexte, le boitier NAVISTA présente un intérêt pour les petits cabinets d'avocats qui souhaitent disposer d'un accès distant et sécurisé à leur serveur de fichier. » (p. 21)

Ce que le CNB omet de préciser, c'est qu'il faudrait que ces cabinets soient "experts" en informatique sans l'assistance d'un prestataire externe. Car il faudrait que les cabinets en question gèrent eux-mêmes la sécurité de leur réseau local. Et surtout, le CNB omet de reproduire les conclusions de l'expert HATTAB qui rappelle que la surenchère sécuritaire que propose le CNB via NAVISTA et son boîtier VPN ne créé qu'une fuite en avant qui implique que tous les cabinets investissent des moyens humains et matériels pour améliorer la sécurité informatique de l'ensemble de leurs cabinets et non seulement de l'échange de correspondance par voie informatique :

"Les plus sécuritaires apportés par l'utilisation de tunnels VPN et de pare-feu pour protéger les points d'accès à ce VPN, pour être effectifs, nécessitent que la sécurité de ces VPN et pare-feu soit attestée. Ils impliquent aussi une série de mises à niveau concomitantes, portant sur la sécurité des réseaux locaux, des serveurs, des postes de travail et de l'organisation en général, qui ne soient pas prises en compte par le projet technique de déploiement des boîtiers RSA.

Dans ces conditions de double emploi, de valeur ajoutée sécuritaire conditionnée à des mises à niveau des cabinets hors du périmètre du projet RPVA et d'absence de maîtrise contractuelle, la justification économique du réseau virtuel à base de boîtiers RSA dans tous les cabinets nous semble problématique. (page 46)"

Je ne reviendrais pas sur le fait que le CNB reconnaît lui-même qu'il s'est mis (nous a mis) contractuellement la corde au cou avec NAVISTA jusqu'en 2014 sans aucune sorte de garantie réelle et efficace en cas de défaillance et que les protocoles de sécurité, les composants informatiques intégrés à son offre, et l'architecture informatique des boîtiers développés par NAVISTA ne sont pas certifiés par l'Agence nationale de sécurité informatique...

Par contre, l'expert HATTAB n'a pas manqué de souligner :

"Nous relevons au passage que la sélection de NAVISTA n'a pas résulté d'un appel d'offre.

Le CNB explique cette situation par le contexte historique du RPVA et les difficultés rencontrées avec la première solution retenue et toujours disponible, à base d'un accès Internet haut débit (page 40)"...

Je remarque également qu'en octobre 2009, un nouvel accord a été trouvé avec NAVISTA, pour autoriser le Barreau de Paris à sortir du dispositif (page 38)...

CONCLUSION

Le CNB voudrait faire payer, très cher, aux avocats de province son incurie et son incompétence. Pour pouvoir communiquer avec les Greffes, et notamment relever appel au 1er janvier 2011, nous n'avons besoin que du HTTPS + Certificat d'authentification (solution parisienne du RPVA). Nous n'avons nullement besoin des boîtiers NAVISTA. Nous les imposer est abusif et ne peut être justifié par le souci d'améliorer notre sécurité informatique car ça ne ferait que déplacer la cible des attaques sur nos cabinets et le CNB est loin d'avoir réfléchi et pouvoir nous proposer des solutions intégrales pour protéger nos données des attaques informatiques.

C'est pourquoi il est urgent de dénoncer le contrat avec NAVISTA et déployer rapidement au niveau national la solution retenue par le Barreau de Paris sous l'égide du CNB."

A la vingtième lecture, j'avoue mon désarroi, je n'ai lu aucune allégation dénigrante, aucune allégation insultante.

Et vous, qu'en pensez-vous ?

La liberté d'opinion et d'expression est essentielle pour une personne humaine.

Elle lui permet d'exister en étant soi et non une personne imaginée par autrui.

Elle lui permet de partager sa pensée, de la confronter à celle d'autrui et de la voir évoluer, grandir.

Conscients de sa fragilité, de grands hommes confrontés à un passé inhumain, lui offrirent la plus belle des déclarations :

« Tout individu a droit à la liberté d'opinion et d'expression, ce qui implique le droit de ne pas être inquiété pour ses opinions et celui de chercher, de recevoir et de répandre, sans considérations de frontières, les informations et les idées par quelque moyen d'expression que ce soit. » (art. 19 Déclaration universelle des droits de l'homme)

Mais, il est dans la nature humaine de vouloir parfois être celui qui détient le monopole de la vérité et les opinions divergentes peuvent devenir agaçantes, gênantes, insupportables.

Alors la censure vient au secours de celui qui est démuni d'arguments pour convaincre.

La censure a de multiples facettes qui toutes portent atteintes à la liberté d'expression.

La plus connue est la censure politique ou religieuse, mais celle qui m'intéresse aujourd'hui s'est invitée sur la blogosphère des avocats.

Alors j'ai imaginé son procès, les préliminaires étant bien évidemment la réunion et l'examen des preuves.

Ne croyez pas un seul instant que j'oublie la présomption d'innocence !