L'Agence d'aide juridique du Royaume-Uni victime d'une cyberattaque et vol de données sensibles

L'Agence d'aide juridictionnelle du Royaume-Uni a été victime d'une cyberattaque majeure, au cours de laquelle des données sensibles « importantes », notamment des casiers judiciaires, ont été volées. Le ministère de la Justice mène une enquête et des données remontant à 2010 pourraient être concernées.

Le ministère de la Justice du Royaume-Uni a confirmé qu'une cyberattaque majeure avait ciblé le système d'aide juridictionnelle, entraînant le vol d'un volume important de données, notamment des casiers judiciaires sensibles. Le ministère aurait été informé de la faille de sécurité le 23 avril , suite à la détection d'un accès non autorisé à des données remontant à 2010.

Cet incident est le dernier d'une série de cyberattaques ayant provoqué des perturbations massives. Récemment, Harrods a restreint l'accès à Internet sur ses sites après une cyberattaque, Marks & Spencer a perdu des millions de livres sterling suite à une attaque qui a perturbé ses services, tandis que Co-op a fermé une partie de ses systèmes informatiques et perturbé ses livraisons de produits frais suite à un incident similaire.

Début mai, des rapports initiaux du ministère de la Justice faisaient état d'un « incident de sécurité » en cours, susceptible d'entraîner un accès aux données de paiement. Initialement, le ministère avait indiqué qu'une enquête était en cours, suggérant un accès potentiel aux données de paiement. Cependant, l'ampleur de l'attaque semble bien plus grave.

Bien que le chiffre exact de 2,1 millions de données, cité par le groupe revendiquant l'attaque, ne soit pas confirmé par le ministère, celui-ci reconnaît qu'une « quantité importante » de données a été volée. Cependant, le ministère estime qu'il s'agit de l'œuvre d'un gang criminel plutôt que d'un acteur soutenu par l'État.

Ces données volées peuvent inclure une gamme de détails personnels très sensibles appartenant aux demandeurs d'aide juridique, tels que les coordonnées, les dates de naissance, les numéros d' identification nationaux, les antécédents criminels, les statuts d'emploi et les données financières comme les montants des contributions, les dettes et les paiements. Il est également probable que les attaquants aient eu accès à des informations relatives aux avocats, aux notaires et à diverses organisations, y compris des entités à but non lucratif, qui travaillent avec l'Agence d'aide juridique.

La directrice de l'Agence d'aide juridique, Jane Harbottle, a exprimé ses regrets et s'est excusée pour l'incident, déclarant qu'elle comprenait que la nouvelle « serait choquante et bouleversante pour les gens ».

Le ministère de la Justice travaille désormais en collaboration avec l' Agence nationale de lutte contre la criminalité et le Centre national de cybersécurité pour sécuriser leurs systèmes compromis. L'autorité britannique de protection des données, le Commissaire à l'information, a également été informé.

Dans un commentaire sur Hackread.com, Wayne Cleghorn , associé en protection des données et cybersécurité chez Excello Law, à Londres, a déclaré : « Les cyberattaques de toutes sortes sont en augmentation. N'importe quelle organisation peut en être victime. La réponse urgente est de revenir aux fondamentaux : vérifier les pratiques clés en matière de protection des données, vérifier la conformité au RGPD, renforcer les mesures de sécurité de base et encourager les fournisseurs importants à rester vigilants. »

« Le problème avec les violations de données de données hautement sensibles et de catégories spéciales n'est pas seulement l'exposition immédiate et les vulnérabilités causées, ce sont les utilisations néfastes futures inconnues des données volées, qui peuvent être surprenantes et très préjudiciables pour toutes les personnes impliquées » , a averti Wayne.

Pour information, l'Agence d'aide juridictionnelle joue un rôle crucial au sein du système judiciaire britannique, finançant plus de 2 000 prestataires d'aide juridictionnelle. Rien qu'en 2023-2024, l'agence a géré environ 2,3 milliards de livres sterling. Conséquence directe de la cyberattaque, ses services numériques en ligne ont été mis hors ligne.

Le ministère de la Justice a exhorté les personnes ayant sollicité l'aide juridictionnelle depuis 2010 à prendre des mesures proactives pour se protéger. Il s'agit notamment de se méfier des appels et SMS non sollicités et de mettre à jour des mots de passe faibles. De plus, l'agence conseille au public de vérifier son identité de manière indépendante avant de fournir toute information en cas de doute sur la légitimité des communications numériques ou téléphoniques.