Cet article a été publié pour la première fois sur ITK SECURITY.

Dernière mise à jour il y a 1 an par Patrick Ruppelt

Temps de lecture : 6 minutes

L'année dernière, nous avons révélé que l'Ordre fédéral des avocats (BRAK) incite ses utilisateurs à installer des copies illégales et pirates du logiciel Oracle Java sur leurs ordinateurs. La BRAK l'a maintenant reconnu elle-même dans sa dernière newsletter. Ce n'est pas trop tôt.

Les instructions fournies aux utilisateurs de la "boîte aux lettres électronique spéciale pour les avocats" (beA) invitaient à télécharger et à installer la dernière version du logiciel JAVA d'Oracle. Le fait que ce logiciel soit payant - même pour chaque avocat qui l'installe - n'a pas du tout intéressé la BRAK.

Bien au contraire, la BRAK a fait référence à des conditions de licence sur son site web, alors que la BRAK n'avait pas de licence du tout. Le fabricant Oracle nous l'avait confirmé par écrit à l'époque et avait indiqué que la BRAK avait de toute façon invoqué le mauvais modèle de licence comme prétendue légitimation.1).

Étant donné que chaque avocat, cabinet d'avocats et tribunal est légalement tenu d'utiliser le système beA, nous avons calculé qu'il s'agit donc de Fraude aux licences à hauteur d'environ 5 millions de dollars par an a agi2).

A cela s'ajoutaient des problèmes de sécurité dus à la présence avérée de Logiciel serveur non mis à jour pendant des mois à l'Ordre fédéral des avocats. Le logiciel utilisé avait d'innombrables failles de sécurité connues.3).

La BRAK s'est montrée très réticente à notre égard. Non, ils n'étaient pas reconnaissants pour les conseils.

Plusieurs avocats du BRAK ont essayé de nous faire taire.En général, ils ont tout nié, démenti et essayé de se réfugier dans des excuses de plus en plus absurdes.4).

Pour ceux qui souhaitent lire les incidents de manière plus approfondie, je recommande les articles suivants qui, rétrospectivement, semblent presque amusants :

  1. Les utilisateurs de beA ont-ils réellement des licences JAVA valides ? Jeu de réflexion sur l'octroi correct de licences du logiciel Oracle JAVA par les avocats et les cabinets d'avocats5) du 11 août 2019
  2. Lettre ouverte à l'Ordre fédéral des avocats (BRAK)6) du 23 septembre 2019
  3. La BRAK renonce aux mises à jour de sécurité pour la beA7) du 3 octobre 2019
  4. Confirmation officielle : les utilisateurs de beA ont besoin d'une licence JAVA payante8)/ du 9 octobre 2019

Avec le changement d'opérateur, qui s'éloigne d'Atos et se rapproche de la communauté de soumissionnaires Westernacher/rockstein9) comme toujours, tout devrait aller mieux.

Et en effet, au moins le problème de la licence Oracle Java semble avoir été "résolu". Résolu dans le sens où ce composant a été supprimé et qu'une alternative gratuite est maintenant utilisée, avec d'autres restrictions. Par exemple, cela ne fonctionne plus sur nos ordinateurs Linux. Selon les instructions, seuls Windows 7, Windows 10 et Mac OS X 10 sont encore pris en charge. Ce que notre test pratique confirme, c'est qu'il n'y a pas grand chose qui fonctionne avec Linux :

Source : Fenêtre de connexion de la BNotK pour la configuration du code PIN des cartes beA sous Linux / Chrome (capture d'écran réalisée le 22.2.2020 à 11:14)10)

C'est bien de voir que cela fonctionne encore avec un Windows 7 vieux de dix ans et qui n'est plus du tout pris en charge par Microsoft - complètement insécurisé - mais que cela ne fonctionne pas sur un PC Linux actuel et sécurisé.

Bon, comme on le sait, l'Ordre fédéral des avocats n'a jamais eu beaucoup d'estime pour les logiciels de sécurité actuels, et comme il y a encore au moins 33 000 PC équipés de Windows 7 dans l'administration allemande, il n'est pas surprenant qu'il y en ait encore beaucoup.11)Il fallait bien qu'il en soit ainsi. Le suivant GAU de la cour de chambre12) est inévitable.

Le cryptage de bout en bout de ce système de messagerie soi-disant si sûr existe aujourd'hui. après le changement d'opérateur continue à ne pas13). Car les spécialistes de l'ordre des avocats et des tribunaux sont d'accord sur ce point : la sécurité à l'état de l'art n'est pas nécessaire dans le cadre de la circulation judiciaire (cf. jugement AGH Berlin, jugement du 14 novembre 2019 - I AGH 6/1814).

Quoi qu'il en soit, dans la dernière lettre d'information de la BRAK, nous avons été très surpris de lire une phrase dont nous pensions qu'elle serait balayée d'un revers de main, comme tout le reste auparavant :

La Chambre fédérale des notaires a récemment modifié la CSC. Jusqu'à présent, une installation séparée d'ORACLE-Java était nécessaire pour l'utiliser. Ce n'est plus nécessaire.

Source : beA Newsletter numéro 4/2020 v. 20.2.2020 15), c'est nous qui soulignons

Arrêtons-nous un instant. "Jusqu'à présent, l'utilisation nécessitait une installation séparée d'ORACLE-Java", écrit la BRAK.

Mais jusqu'à présent, on nous a toujours répété que c'était justement le cas. pas Il serait nécessaire d'installer ce logiciel payant et il n'y aurait pas de coûts supplémentaires pour - je cite - "les coûts générés par le système beA et l'application beA ou la sécurité du client (...)" (cf. e-mail de la BRAK à mon attention du 29 août 2019).

C'est très intéressant, car c'est un virage à 180 degrés. Jusqu'à présent, la BRAK a tout fait pour m'assurer que tout était correctement licencié. Dans cette newsletter, la BRAK admet exactement le contraire. Tous les utilisateurs de beA auraient dû jusqu'à présent acheter une licence Oracle JAVA payante pour chaque ordinateur sur lequel ils utilisaient beA. Ce qui nous amène à la somme de la fraude de licence de l'époque, qui avoisinait les 5 millions de dollars américains. Qed.

Le fait que la BRAK rende obsolète le logiciel JAVA d'Oracle ne signifie pas que tout va bien. Ce n'est pas du tout le cas, car ce composant logiciel a été développé par les utilisateurs ou leurs administrateurs. installé sur au moins 85 000 ordinateurs, continue à fonctionner joyeusement et est bien sûr toujours payant.sans aucun doute16) . Et ce, jusqu'à ce qu'elle soit désinstallée. Donc, tant que l'utilisateur ne fait pas en sorte qu'Oracle JAVA soit supprimé de son ordinateur, il continue d'utiliser des logiciels piratés, et ce depuis le début de l'année 2019. Mais, qui aurait pu s'attendre à autre chose, la BRAK ne dit pas un mot à ce sujet.

Répertoire des sources

↑1https://www.itk-security.de/offener-brief-an-die-bundesrechtsanwaltskammer-brak-bea/
↑2https://www.itk-security.de/offiziell-bestaetigt-bea-anwender-benoetigen-kostenpflichtige-java-lizenz/
↑3https://www.itk-security.de/brak-verzichtet-bei-bea-auf-sicherheitsupdates/
↑4https://www.itk-security.de/haben-bea-nutzer-eigentlich-gueltige-java-lizenzen/
↑5https://www.itk-security.de/haben-bea-nutzer-eigentlich-gueltige-java-lizenzen/
↑6https://www.itk-security.de/offener-brief-an-die-bundesrechtsanwaltskammer-brak-bea/
↑7https://www.itk-security.de/brak-verzichtet-bei-bea-auf-sicherheitsupdates/
↑8https://www.itk-security.de/offiziell-bestaetigt-bea-anwender-benoetigen-kostenpflichtige-java-lizenz/
↑9https://www.lto.de/recht/juristen/b/bea-vergabeverfahren-neuer-dienstleister-westernacher-rockstein-folgt-atos/
↑10https://secure.bnotk.de/idp/Authn/Smartcard/
↑11https://www.handelsblatt.com/politik/deutschland/windows-7-bundesregierung-zahlt-fast-eine-million-euro-fuer-veraltetes-microsoft-betriebssystem/25452158.html?ticket=ST-7494672-79NK0UVPqdwhvPmgZf2K-ap1
↑12https://www.itk-security.de/wort-zum-sonntag-berliner-kammergericht-von-altbekanntem-virus-bis-naechstes-jahr-lahm-gelegt/
↑13https://anwaltsblatt.anwaltverein.de/de/news/agh-berlin-bea-ist-sicher-keine-ende-zu-fin-verrouillage-nécessaire
↑14https://anwaltsblatt.anwaltverein.de/files/anwaltsblatt.de/anwaltsblatt-online/2020-003.pdf
↑15https://mailcluster.wegewerk.com/mailing/36/2620027/7696415/3951/c90ce8ac25/index.html
↑16https://shop.oracle.com/apex/f?p=DSTORE:PRODUCT:::NO:RP,6:P6_LPI,P6_PROD_HIER_ID:132208699270491131625576,123775488249871532594385