Le système judiciaire, vulnérable au piratage. Le Journal officiel, la Cour suprême, et bien d'autres, ont été piratés.

Publicație Oficială: ENTRYRISE S.R.L
Scop: Notificarea societății civile cu privire la existența mai multor brese care le-au vulnerabilizat securitatea datelor gestionate de instante si RAMO.

Detalii Breșa:
- Aproximativ 2,000,000 de dosare ale Curtii de Apel Cluj erau susceptibile sa fie exfiltrate de un atacator cu competente medii, dosare ce includeau date deosebit de sensibile
- Cel putin 100,000 de romani si persoane juridice din Romania au avut totalitatea documentelor din dosarul electronic public, documente cu sensibilitate deosebita:
- Cel putin 10.000 de romani si persoane juridice din Romania aveau anumite documente sensibile accesibile prin vulnerabilitatea IDOR


Riscuri:
- Furt de identitate (Peste 2,100,000 persoane vulnerabile)
- Santaj, acces informatii cu caractger deosebit de sensibil (Peste 2,100,000 persoane vulnerabile)
- Divulgare adresa + date din CI (Peste 2,110,000 persoane vulnerabile)

Bien que la technologie ait évolué et que les tendances de la "numérisation" aient atteint des sommets dans le domaine de la justice, une numérisation mal réalisée permet aux hackers d'accéder à des données sensibles, de falsifier parfaitement des décisions de n'importe quelle cour (y compris la Cour suprême), pour moins de 8 000 EUR, et de modifier ou de saboter les dossiers soumis via ECRIS, le système de gestion de la justice en Roumanie.

Cet article vise à attirer l'attention du public sur le degré d'intérêt que portent les institutions publiques à la protection de leurs données, ainsi que sur les dangers auxquels les citoyens sont exposés, car les institutions publiques ne prennent toujours pas les mesures nécessaires pour y remédier.

Dans cet article, nous discuterons de la manière dont :

• Les hackers peuvent obtenir de fausses décisions légalisées auprès de n'importe quel tribunal.pour moins de 8 000 EUR.
• Tout le monde peut publier des lois dans le Journal officiel, à travers un large éventail de vulnérabilités critiques qui n'ont pas été résolues depuis deux ans.
• CSM a rendu publiques plus de 40 000 mots de passe d'accès sur rejust.ro des dossiers sensibles concernant le droit pénal et le droit de la famille.
• Les décisions / documents sensibles des dossiers étaient accessibles via Google, car le dossier électronique n'a pas de mot de passe pour visualiser les fichiers.
• Et d'autres

Grâce à cela, les hackers pouvaient :

• Découvrez vos problèmes familiaux et les aspects intimes que vous avez rencontrés., et qui ont été discutés lors du divorce, du partage des biens, ou dans des litiges concernant la garde. Ils pouvaient ensuite publier des détails sur ta famille, ou même vendre l'accès à ces informations ou te faire chanter.
  
  Votre épouse a-t-elle soutenu qu'elle était insatisfaite de la relation en raison de votre impuissance lors de la procédure de divorce ? Ou peut-être a-t-elle évoqué des accusations de violence envers votre enfant ? Quoi qu'il en soit, tout cela est désormais public.
• Découvrir les secrets professionnels qui ont été mentionnés dans le dossier ou qui ont été discutés dans celui-ci : Vos concurrents malveillants ont pu accéder à ces informations.
• Être modifier les peines pour certaines infractions : Pouvons-nous nous fier au fait que les juges ont identifié qu'en réalité un zéro avait été supprimé, ou que la peine avait été réduite pour des infractions rarement rencontrées ? Ils ont échoué dans le passé à identifier des actes qui ne devaient pas être publiés au Journal Officiel des milliers de fois.
• Obtenir des détails sur ce que les victimes d'un procès pénal ont subi et ce par quoi elles ont traversé.les traumatismes qu'ils ont, et comment ils peuvent les exploiter pour voler ou faire chanter les victimes.

Les personnes affectées étaient :

• Environ 2 000 000 de dossiers de la Cour d'appel de Cluj étaient susceptibles d'être exfiltrés par un attaquant. avec des compétences intermédiaires, des dossiers contenant des données particulièrement sensibles :
  • Un acteur malveillant obtenez des détails sur les documents du dossier électronique concernant les affaires pénales, les affaires impliquant des mineurs, et les affaires de violence domestique / mineurs, qui contiennent des informations très sensibles.
  • Un acteur malveillant Il est possible de lire et de télécharger des documents contenant des secrets de service, des secrets commerciaux, des secrets bancaires, ces types de documents devenant accessibles aux acteurs malveillants.
• Au moins 100 000 Roumains et personnes morales en Roumanie ont eu l'ensemble des documents dans le dossier électronique publicences, documents de nature particulièrement sensible :
  • Toute personne, même sans compétences techniquesVous pouvez obtenir des détails sur les documents du dossier électronique dans les affaires pénales, les affaires concernant les mineurs, et les affaires de violence domestique / mineurs, qui contiennent des informations très sensibles.
  • Toute personne, même sans compétences techniques Il est possible de lire et de télécharger des documents contenant des secrets de service, des secrets commerciaux, des secrets bancaires, ces types de documents devenant accessibles aux acteurs malveillants.
• Au moins 10 000 Roumains et personnes morales en Roumanie il existe certains documents sensibles accessibles par la vulnérabilité IDOR
  • Les décisions des tribunaux qui incluaient l'adresse, le numéro de sécurité sociale, ainsi que d'autres données pouvant être utilisées pour falsifier une carte d'identité afin d'obtenir des crédits bancaires auprès des établissements financiers non bancaires, ainsi que des mentions de nature sensible dans la solution finale donnée par les tribunaux.
  • Les citations des instances qui incluaient l'adresse où résidait une personne.

Comment puis-je savoir si j'ai été affecté ?
J'ai préparé une liste de personnes qui ont été affectées, plus ou moins, en termes de vulnérabilité :

• Toutes les personnes ayant eu des dossiers devant le tribunal sous la juridiction de Cluj - Accès à la divulgation des dossiers.
• Tous les utilisateurs jusqu'en 2024 du Moniteur Officiel (RAMO)
• Toutes les personnes qui recherchent des données, une instance et le type de décision qu'elles ont eu via rejust.ro, en utilisant la recherche "en utilisant le mot de passe", peuvent trouver leur dossier - Divulgation du dossier complet.

Brève revue :

La Roumanie a réalisé ces dernières années des efforts significatifs en matière de numérisation, avec l'intention de s'aligner sur le bloc occidental auquel nous aspirons tant. Bien que le désir de numérisation soit louable, la manière dont cela a été réalisé soulève de nombreuses questions :

• Pourquoi la numérisation est-elle si coûteuse lorsqu'elle est réalisée par une institution publique ?
• Pourquoi presque toutes les institutions publiques en Roumanie ont-elles des failles de données, ou des systèmes susceptibles d'attaques et pleins de vulnérabilités ?
• Quel impact ces tentatives de "numérisation" ont-elles sur nous, en tant que citoyens ?

L'un des secteurs importants de la démocratie, la Justice, a été fortement impacté par ces décisions de numérisation hâtives et sans plan, de nombreux tribunaux se lançant de manière ad hoc dans des solutions numériques ne respectant pas les normes de l'industrie.

Des problèmes d'injection SQL qui permettaient de modifier les nœuds régionaux ECRIS (le système où sont stockés les dossiers, les solutions en bref, etc.), à de simples IDOR causés par l'absence de demande d'authentification pour des informations particulièrement sensibles, il est temps de ne plus garder ces problèmes pour moi et de les exposer publiquement.

Le Journal Officiel, piraté par des hackers

L'Office autonome "Monitorul Oficial" (RAMO) est l'institution publique chargée de la gestion de la publication des lois et de garantir leur exactitude. C'est l'institution qui conserve les lois et les rend publiques, et le système utilisé par RAMO pour porter à l'attention du public le Journal officiel était vulnérable.

Ainsi, même un enfant de 13 ans passionné par l'informatique pouvoir entrer dans le Journal officiel et publier des lois, car l'application a été développée sans aucune attention aux attaques les plus fréquentes et connues :

• SQL Injection - Niveau de risque CRITIQUEL'application RAMO ne gérait pas correctement l'accès à la base de données, permettant aux hackers de se connecter avec n'importe quel compte sur l'application et d'extraire des données sensibles (ex : comptes utilisateurs).
• Liste des répertoires - Niveau de risque moyenL'application AutenticMonitor, qui pouvait être utilisée pour accéder aux anciens moniteurs non indexés dans la nouvelle application "ExpertMonitor", était vulnérable à l'énumération de répertoires, ce qui permettait de lire les fichiers présents sur le serveur du Moniteur Officiel.
• Copies de sauvegarde non libérées - Niveau de risque Élevé : Un autre aspect identifié était le stockage sur le serveur de copies de sauvegarde non patchées, qui contenaient très probablement le code source, ainsi que des copies potentielles de la base de données, et qui étaient présentes non patchées sur le serveur web. Un attaquant pouvait utiliser ces informations pour identifier les vulnérabilités de la plateforme.
• Absence d'authentification des photos de témoin - Niveau de risque faible : ExpertMonitor mettait à la disposition du public des photos témoins qui n'étaient pas authentifiées, ce qui permettait d'accéder au Journal officiel "gratuitement" (en Roumanie, il faut acheter le droit d'accéder à des documents que l'on est obligé de connaître, car on en est juridiquement responsable si ce n'est pas le cas), un aspect clairement non intentionnel de RAMO.

Mesures prises, et complètement ignorées

Nous avons rencontré une série de problèmes en essayant de faire fonctionner AutenticMonitor sur Windows 10 (nécessite un applet Java - des applets qui ne peuvent être accessibles qu'avec Internet Explorer), en essayant de le reconstruire localement pour qu'il fonctionne de manière autonome.

Une fois identifiées, nous avons immédiatement informé RAMO de l'existence des problèmes et des risques qu'ils engendrent, dès le 17 octobre 2022.

Je n'ai reçu aucune réponse concernant le délai de résolution. Lors de notre contact téléphonique avec RAMO, il nous a été indiqué qu'ils avaient compris que nous souhaitions faire du marketing et qu'ils nous avaient invités à Bucarest pour une discussion..

En résumé, on nous a proposé une collaboration avec attribution directe / un appel d'offres truqué en réponse à notre "chantage" consistant à signaler des problèmes.

Ils nous ont dit que l'application avait été développée par SIVECO, et que c'est ainsi que les programmes sont réalisés dans le secteur public.

Nous avons refusé, en mentionnant que nous sommes disposés à aider, dans la limite de notre temps, pro bono, mais pas pour le développement d'une autre plateforme, financée par l'État.

Ils nous ont dit qu'ils avaient informé les personnes concernées mais qu'ils "ne peuvent pas donner de noms au téléphone" (probablement le SRI ou le STS), mais apparemment aucune mesure n'a été prise.

Par conséquent, après le rapport d'un autre ensemble de vulnérabilités clés (UNBR + CECCAR), et le début de l'opérationnalisation réelle du DNSC (Direction nationale de la sécurité des systèmes d'informationJ'ai communiqué l'ensemble des vulnérabilités que j'ai signalées et qui n'ont pas été résolues.

Le DNSC nous a informés qu'il a pris les mesures nécessaires pour informer les institutions concernées. Parmi ces problèmes figurait la situation du Journal officiel, ainsi que certaines vulnérabilités qui affectaient la plupart des tribunaux en Roumanie, dont nous discuterons plus tard.

Parmi ces problèmes se trouvait la situation du Moniteur Officiel, ainsi que certaines vulnérabilités qui affectaient la majorité des instances en Roumanie, dont nous discuterons plus tard.

Pour nous assurer que les vulnérabilités ayant un impact sur la sécurité nationale étaient correctement signalées, J'ai informé la section CyberInt des vulnérabilités affectant les cours d'appel militaires et le Journal officiel.Étant donné la juridiction dont dispose le SRI sur ces questions, ainsi que les dangers liés au lancement d'attaques hybrides ou à la mise en œuvre de campagnes de désinformation visant à créer de la confusion avant une éventuelle incursion armée.

Il est évident qu'un acteur étatique comme la Russie peut trouver d'autres moyens d'exploiter de telles vulnérabilités.

Intéressant, dans 12 jours, divers attaques vont se viraliser à la Chambre des Députés, qui coordonne l'activité du Moniteur Officiel.

Cyberattaque contre la Chambre des Députés. Le bulletin de Ciolacu est tombé entre les mains des hackers.

Attaque cybernétique à la Chambre des Députés. Les hackers ont pénétré la base de données de l'institution et ont obtenu des informations confidentielles, y compris sur le Premier ministre.

Digi24Georgiana Marina

Bien que l'attaque ne semble pas avoir été d'une grande ampleur, elle génère une pression médiatique qui renforce le DNSC et qui initie le processus de "préparation contre les hackers" nécessaire pour prévenir de telles attaques.

N.B. : Ve J'ai eu des discussions avec des collègues sur la possibilité que cela ait été lancé par le SRI comme une opération sous faux drapeau juste pour "sensibiliser" à ces vulnérabilités, mais cela est resté au stade de la spéculation sans preuves. Quoi qu'il en soit, dans un tel rapport, où le silence est la pratique standard, on cherche des confirmations des mesures prises de toutes sortes d'endroits.

Que pouvaient faire les hackers sur le Journal Officiel ?

Étant donné la nature de l'application, il est certain que par son intermédiaire ou sa base de données, des lois pouvaient être publiées, et grâce à la vulnérabilité d'injection SQL, cela peut être réalisé par n'importe qui.

Donc, quiconque avait le pouvoir de publier des lois dans le Journal officiel, et les chances qu'ils aient été identifiés étaient minimes.

Rappelons-nous comment la profession de conseiller juridique a été détournée par la fédération d'ONG OCJR, qui a trompé le Journal officiel en publiant un statut fictif imposant des obligations non soutenues par le parlement :

Comment les professions juridiques en Roumanie ont-elles été détournées ?

Explorez les défis et les enquêtes en cours dans les professions juridiques roumaines, en soulignant la nécessité de réformes et de changements positifs.

Incorpo.ro - Immatriculation d'entreprise en RoumanieStefan-Lucian Deleanu

En raison de la vaste surface d'attaque, il est presque certain qu'un acteur malveillant a pu exploiter les vulnérabilités signalées, ainsi que d'autres vulnérabilités potentielles que nous n'avons pas détectées.

En outre, le Journal officiel a récemment subi une violation de données, c'est à ce moment-là que nous avons confirmé que les vulnérabilités avaient été corrigées.

Bien que les détails concernant cette violation n'aient pas été communiqués publiquement, à l'exception de quelques courriels vagues envoyés aux personnes ayant un compte sur ExpertMonitor / AutenticMonitor, il est certain qu'ils ont subi une violation de données d'ampleur, étant donné l'absence de mesures préalables. il a montré que le MO ne réagit pas aux problèmes mineurs.

Le 5 avril 2024, ils reviendront avec une notification en ce sens, en informant même les personnes de s'adresser au DPO de MO.

Il est très rare que les institutions prennent de telles mesures, c'est pourquoi nous saluons l'initiative du MO de respecter les obligations légales qui leur incombaient.

Cependant, même ainsi, ce que le Journal Officiel n'a pas mentionné est :

• En ce qui concerne l'incident de type "cyberattaque", qu'est-ce qui s'est passé et quel a été son impact ?
• A ont-ils été exposés à des risques, ou des données personnelles ont-elles même été divulguées ? Disposez-vous d'un registre d'audit qui montre qui a accédé aux informations et quelles informations ont été consultées ?
• À combien de comptes / à quelles données les attaquants ont-ils eu accès ? Auparavant, nous soulignons que des données personnelles, y compris des adresses, ont été divulguées par un annuaire de toutes les factures / proformas, un point porté à l'attention du MO. De plus, la vulnérabilité d'injection SQL permettait probablement l'exfiltration de données de la base de données. (la plupart étaient aveugles cependant)

Ce qui est certain, c'est que bien qu'ils aient été informés de certains risques, des risques qui, une fois apparus, signalent une fondation fragile nécessitant une consolidation, voire une reconstruction complète, ils n'ont pas pris de mesures avant qu'il ne soit trop tard.

En effet, ce comportement est quelque peu standard dans les institutions publiques, surtout celles ayant un "soutien politique", ce qui engendre de nombreux dangers pour la démocratie, et qui ne devraient exister sous aucune forme.

Cours d'appel de Cluj, vulnérable à l'accès à la base de données régionale ECRIS

Système ECRISc'est-à-dire le système d'interconnexion utilisé par la justice de l'UE, qui est actuellement mis en œuvre au niveau national sous la forme de nœuds modulaires hébergés distinctement par chaque cour d'appel, a été vulnérable à l'accès en raison d'erreurs de configuration et de morceaux de code mal rédigés.

De son côté, cette situation n'aurait pas été problématique si le serveur du tribunal n'avait pas également des sauvegardes de l'installation de WordPress (+ la base de données) et d'ECRIS utilisées par le tribunal.

Les sauvegardes de la base de données WordPress et de l'installation incluent également les versions hachées des mots de passe utilisés par les instances. Étant donné la nature de certains sites qui doivent être accessibles par du personnel ayant une formation juridique, cela augmente le risque que certains mots de passe ne soient pas nécessairement sécurisés et puissent être identifiés par une attaque par force brute (essai de tous les fichiers avec des noms rationnels) sur la base de données.

Les sauvegardes pour l'accès au système ECRIS sont probablement des clones de l'application WEB utilisée par la Cour d'Appel de Cluj, ce qui permettait d'élargir la surface d'attaque.

Ensemble, les 2 vulnérabilités mentionnées ci-dessus rendaient presque certaine l'existence de vulnérabilités permettant l'accès à WordPress, à partir duquel il était possible d'escalader l'accès à toutes les applications hébergées par l'utilisateur web, et selon la version de Windows, à l'ensemble du serveur.

Les sauvegardes pour accéder au système ECRIS sont probablement des clones de l'application WEB utilisée par la Cour d'Appel de Cluj, qui permettaient d'élargir la surface d'attaque.

Danger réel

Ensemble, les deux vulnérabilités mentionnées ci-dessus rendaient presque certaine l'existence de failles permettant l'accès à WordPress, d'où il était possible d'escalader les droits d'accès à toutes les applications hébergées par l'utilisateur web, et selon la version de Windows, à l'ensemble du serveur.

Je peux affirmer avec certitude à 80 % qu'à travers ces vulnérabilités, tous les dossiers de la région de Cluj pouvaient être accessibles, ce qui représente plus de 1 377 972 dossiers, y compris des dossiers portant sur des affaires telles que :

• Pédophilie
• Dossiers avec Mineurs
• Violations
• Omoruri

Les données accessibles, ces informations pouvaient être utilisées pour faire du chantage aux personnes, ou divulguées publiquement pour semer le chaos dans le système judiciaire.

Mesures prises et impact

Nous avons immédiatement communiqué les vulnérabilités à la Cour d'Appel de Cluj.

Le 19 octobre 2022, nous avons été informés que les problèmes avaient été résolus, et nous avons reçu la demande de continuer à signaler les vulnérabilités.

Cependant, après une période de temps (Confirmé à la fin de 2023), l'administrateur système de la Cour d'Appel a commis l'erreur de réimplémenter les mêmes scripts PHP qui permettaient à nouveau la lecture des informations dans le répertoire web.

Par la suite, l'accès à certaines copies de sauvegarde était autorisé, même si celles à caractère sensible n'étaient plus accessibles.

Plus de 196 cas, vulnérables à l'IDOR

En raison de l'absence d'un système d'authentification efficace, il est encore possible aujourd'hui d'identifier et de télécharger les documents publiés sur le dossier électronique du tribunal.

Ce problème permettait l'exfiltration des numéros de sécurité sociale, des adresses, ainsi que des détails sensibles concernant diverses affaires, y compris des affaires impliquant des mineurs, en matière de droit de la famille, ou d'autres domaines problématiques dont la divulgation peut affecter la vie privée des personnes.

De plus, en raison de la mauvaise configuration du fichier robots.txt al instantelor, un fisier care permite configurarea carui program automat (eg: Google, Bing) are acces la aceste informatii, aceste hotarari ajungeau sa fie indexate, chiar si acum fiind vizibile pe webarchive.

Desi a ensuite pris la mesure de demander la suppression de ces fichiers de webarchive, ils sont toujours stockés sur CommonCrawl ou d'autres sites spécialisés, et la mise en place d'un système d'authentification, comme nous l'avons recommandé, n'a pas été réalisée.

Parmi ces instances, il y avait la Cour de cassation, la plupart des cours d'appel et toutes les cours militaires d'appel.

Liste des instances vulnérables à l'IDOR :

• Vrancea : Tribunal de Vrancea, Tribunal d'Adjud, Tribunal de Focșani, Tribunal de Panciu
• Vaslui : Tribunal de Vaslui, Tribunal de Bârlad, Tribunal de Huși, Tribunal de Vaslui
• Tulcea : Tribunal de Tulcea, Tribunal de Babadag, Tribunal de Măcin, Tribunal de Tulcea
• Timiș Cours d'Appel de Timișoara, Tribunal de Timiș, Tribunal Militaire de Timișoara, Tribunal de Deta, Tribunal de Făget, Tribunal de Lugoj, Tribunal de Sânnicolau Mare, Tribunal de Timișoara
• Teleorman : Tribunal de Teleorman, Tribunal d'Alexandrie, Tribunal de Roșiori de Vede, Tribunal de Turnu Măgurele, Tribunal de Videle, Tribunal de Zimnicea
• Suceava : Cour d'Appel de Suceava, Tribunal de Suceava, Tribunal de Câmpulung Moldovenesc, Tribunal de Fălticeni, Tribunal de Gura Humorului, Tribunal de Rădăuți, Tribunal de Suceava, Tribunal de Vatra Dornei
• Sibiu : Tribunal de Sibiu, Tribunal d'Agnita, Tribunal d'Avrig, Tribunal de Mediaș, Tribunal de Săliște, Tribunal de Sibiu
• Satu Mare Tribunal de Satu Mare, Tribunal de Carei, Tribunal de Negrești-Oaș, Tribunal de Satu Mare
• Prahova Cour d'Appel de Ploiești, Tribunal de Prahova, Tribunal de Câmpina, Tribunal de Mizil, Tribunal de Ploiești, Tribunal de Sinaia, Tribunal de Vălenii de Munte
• Olt : Tribunal d'Olt, Tribunal de Balș, Tribunal de Caracal, Tribunal de Corabia, Tribunal de Slatina
• Mureș : Cour d'Appel de Târgu-Mureș, Tribunal de Mureș, Tribunal Spécialisé de Mureș, Tribunal de Luduș, Tribunal de Reghin, Tribunal de Sighișoara, Tribunal de Târgu-Mureș, Tribunal de Târnăveni
• Mehedinți : Tribunal de Mehedinți, Tribunal de Baia de Aramă, Tribunal de Drobeta-Turnu Severin, Tribunal d'Orșova, Tribunal de Strehaia, Tribunal de Vânju Mare
• Ilfov : Tribunal d'Ilfov, Tribunal de Buftea, Tribunal de Cornetu
• Iași Cours d'Appel de Iași, Tribunal de Iași, Tribunal Militaire de Iași, Tribunal de Première Instance de Iași, Tribunal de Première Instance de Hârlău, Tribunal de Première Instance de Pașcani, Tribunal de Première Instance de Răducăneni
• Ialomița : Tribunal d'Ialomița, Tribunal de Fetești, Tribunal de Slobozia, Tribunal d'Urziceni
• Hunedoara : Tribunal de Hunedoara, Tribunal de Brad, Tribunal de Deva, Tribunal de Hațeg, Tribunal de Hunedoara, Tribunal d'Orăștie, Tribunal de Petroșani
• Harghita : Tribunal de Harghita, Tribunal de Gheorgheni, Tribunal de Miercurea Ciuc, Tribunal d'Odorheiu Secuiesc, Tribunal de Toplița
• Gorj : Tribunal de Gorj, Tribunal de Motru, Tribunal de Novaci, Tribunal de Târgu Cărbunești, Tribunal de Târgu Jiu
• Giurgiu : Tribunal de Giurgiu, Tribunal de Bolintin Vale, Tribunal de Giurgiu
• Galați Cours d'Appel de Galați, Tribunal de Galați, Tribunal de Galați, Tribunal de Liești, Tribunal de Târgu Bujor, Tribunal de Tecuci
• Dolj Cours d'Appel de Craiova, Tribunal de Dolj, Tribunal de Băilești, Tribunal de Calafat, Tribunal de Craiova, Tribunal de Filiași, Tribunal de Segarcea
• Dâmbovița : Tribunal de Dâmbovița, Tribunal de Găești, Tribunal de Moreni, Tribunal de Pucioasa, Tribunal de Răcari, Tribunal de Târgoviște
• Covasna : Tribunal de Covasna, Tribunal d'Întorsura Buzăului, Tribunal de Sfântu Gheorghe, Tribunal de Târgu Secuiesc
• Constanța Cours d'Appel de Constanța, Tribunal de Constanța, Tribunal de première instance de Constanța, Tribunal de première instance de Hârșova, Tribunal de première instance de Mangalia, Tribunal de première instance de Medgidia
• Cluj Tribunal militaire de Cluj
• Caraș-Severin : Tribunal de Caraș-Severin, Tribunal de Caransebeș, Tribunal de Moldova-Nouă, Tribunal d'Oravița, Tribunal de Reșița
• Călărași : Tribunal de Călărași, Tribunal de Călărași, Tribunal de Lehliu-Gară, Tribunal d'Oltenița
• Buzău Tribunal de Buzău, Tribunal de Buzău, Tribunal de Pătârlagele, Tribunal de Pogoanele, Tribunal de Râmnicu Sărat
• Bucarest : Cour de cassation, Cour d'appel de Bucarest, Cour militaire d'appel de Bucarest, Tribunal de Bucarest, Tribunal des assurances de Bucarest, Tribunal militaire de Bucarest, Tribunal de première instance du secteur 1, Tribunal de première instance du secteur 2, Tribunal de première instance du secteur 3, Tribunal de première instance du secteur 4, Tribunal de première instance du secteur 5, Tribunal de première instance du secteur 6
• Brașov Cour d'Appel de Brașov, Tribunal de Brașov, Tribunal des Mineurs et de la Famille de Brașov, Tribunal de Brașov, Tribunal de Făgăraș, Tribunal de Rupea, Tribunal de Zărnești
• Brăila : Tribunal de Brăila, Tribunal de Brăila, Tribunal de Făurei, Tribunal de Însurăței
• Botoșani : Tribunal de BOTOȘANI, Tribunal de BOTOȘANI, Tribunal de DARABANI, Tribunal de DOROHOI, Tribunal de SĂVENI
• Bihor : Cours d'Appel d'Oradea, Tribunal de Bihor, Tribunal d'Oradea, Tribunal d'Aleșd, Tribunal de Beiuș, Tribunal de Marghita, Tribunal de Salonta
• Arad : Tribunal d'ARAD, Tribunal de première instance d'ARAD, Tribunal de première instance de CHIȘINEU-CRIȘ, Tribunal de première instance de GURAHONȚ, Tribunal de première instance d'INEU, Tribunal de première instance de LIPOVA
• Alba Cours d'appel d'Alba Iulia, Tribunal d'Alba, Tribunal de première instance d'Alba Iulia, Tribunal de première instance d'Aiud, Tribunal de première instance de Blaj, Tribunal de première instance de Câmpeni, Tribunal de première instance de Sebeș

Comment la vulnérabilité peut-elle être exploitée :

Très simple. Il suffisait de taper sur Google "filetype:pdf site:[Site dossier électronique tribunal]" et vous obteniez des décisions / convocations / documents des dossiers électroniques qui avaient été envoyés par email aux justiciables ou aux professionnels.

Qu'avons-nous fait pour promouvoir la résolution du problème ?

J'ai immédiatement informé le CSM et le DNSC au sujet de ces vulnérabilités, qui ont informé les instances ayant désormais placé des fichiers robots.txt sur le site.

Nous leur avons proposé d'introduire une authentification sur les points de terminaison de visualisation, soit avec une authentification à deux facteurs utilisant l'email du destinataire, soit par d'autres moyens d'authentification. Cependant, il semble qu'ils n'aient pas pris les mesures demandées, à l'exception de la désindexation sur Google.

Les mots de passe pour accéder aux dossiers électroniques, publiés par le CSM :

Récemment, un non-juriste m'a signalé un problème grave qui semble avoir été exploité dans la nature (par des acteurs ayant accédé à cette faille) concernant les dossiers électroniques de plusieurs tribunaux en Roumanie.

Environ 40 000 dossiers électroniques, y compris des affaires impliquant des mineurs, ont été divulgués en raison de la négligence de certains magistrats et de problèmes de configuration d'un système public fourni par le CSM.

Bien qu'à première vue, il puisse sembler que les dossiers soient anonymisés (par numéro de dossier) sur rejust.ro, la réalité est qu'ils sont très facilement identifiables par la recherche par date, tribunal, objet, état procédural, solution.

Il est donc très facile de corréler les dossiers de rejust.ro avec ceux de just.ro, afin de connaître le contenu de chaque solution fournie par les tribunaux.

Ainsi, un attaquant n'a qu'à se rendre sur le site du tribunal, à rechercher sur Sintact ou une autre application de recherche de dossiers, à trouver le tribunal qui a rendu une décision de ce type à cette date, à comparer éventuellement avec le dispositif, et bam ! Il a accès aux dossiers et peut les consulter.

Quels objets et quelles instances ont été vulnérables :

Selon rejust.ro, les dossiers qui publiaient dans les décisions de séance les mots de passe des dossiers étaient émis par :

• Tribunal de Constanța : 16,21%
• Tribunal de Râmnicu Vâlcea : 10,7%
• Tribunal de Constanța : 7,06%
• Tribunal de Cluj-Napoca 6%
• Tribunal de Turda : 5,72%
• Tribunal de Bistrița : 4,72%
• Tribunal de Cluj : 4,3%
• Tribunal de Sibiu : 3,9%
• Tribunal de Tulcea : 3,46%
• Tribunal de Babadag : 3,22%
• Tribunal de Baia Mare : 3,21%
• Tribunal de Costești : 2,65%

En pourcentage, ces solutions comprenaient des éléments de ces domaines juridiques :

• Civil - 64,53%
• Pénal : 10,05 %
• Litiges avec des professionnels : 7,7 %
• Contentieux administratif et fiscal : 6,06 %
• Minori et famille : 4,55 %
• Litiges de travail : 3,04 %
• Faillite : 2,61 %
• Assurances sociales : 1,38 %

Plus de 15,98 % des dossiers concernés avaient un objet sensible, ce qui correspond à 22 777 dossiers, ce qui signifie que :

• 4 483 dossiers concernant la catégorie "Mineurs et Famille", dont environ 1 120 avec un mot de passe visible, ce qui permettait à tout tiers avec un compte gratuit sur rejust.ro de consulter des détails concernant la vie privée des personnes, des informations sur les mineurs, ainsi que des données sur les disputes et les constatations de violence domestique pouvant être utilisées comme preuve dans de telles affaires.
• 12 512 dossiers dans la catégorie "Pénal", dont environ 3 128 avec un mot de passe visiblece qui permettait à des tiers de lire des détails concernant les victimes et d'avoir des informations sensibles avec lesquelles ils peuvent faire du chantage, entre autres.
• 1 718 dossiers concernant la catégorie "Assurances Sociales", dont environ 429 avec un mot de passe visible, ce qui permettait aux tiers d'obtenir des informations concernant les maladies / problèmes de santé des tiers.

Il est évident que les autres 104 606 dossiers ne peuvent pas être considérés comme ne contenant aucune information sensible, notamment dans les affaires civiles et les litiges avec des professionnels, des documents étant joints au dossier qui incluent :

• Secrets commerciaux
• Secret bancaire
• Informations concernant diverses données sensibles / critiques qui pourraient affecter les professionnels si elles deviennent publiques.
• Détails sur les problèmes familiaux (ex : problèmes de succession, etc.)

Le nombre de données sensibles susceptibles d'être accessibles est particulièrement élevé, et le fait que quiconque puisse abuser de cette vulnérabilité sans aucune connaissance technique est problématique.

De plus, le fait que j'ai appris la vulnérabilité par un juriste démontre que les données étaient déjà abusées.

Mesures prises :

Nous avons signalé ces problèmes au DNSC et au CSM, qui ont pris des mesures temporaires pour demander la suppression des informations de webarchive, la désindexation des dossiers concernés sur Google, mais n'ont pas mis en place un système d'authentification avant la consultation des documents.

Ils n'ont pas informé les victimes qu'elles avaient été victimes de violations, apparemment les tribunaux n'étant pas susceptibles de signaler les violations de données à l'ANSPDCP, de sorte que personne n'a pu prendre de mesures pour tenir les responsables pour compte.

Situation actuelle :

Le problème persiste encore, bien que de manière plus tempérée, les attaquants pouvant essayer des numéros de série pour les dossiers afin de télécharger des informations arbitraires de n'importe quel dossier. Comme les noms de fichiers (et l'URL d'accès non authentifié) sont en série et formatés selon certaines règles, il est possible de déanonimiser discrétionnairement n'importe quelle série de documents en une soirée.

De plus, étant donné que les documents sont publics, les protections juridiques contre les attaquants (qui sont également difficiles à identifier) sont presque inexistantes, le justiciable devant se confronter à l'institution judiciaire (Cour de cassation, Cours d'appel), ce qui n'est même pas une erreur de jugement, mais plutôt une mauvaise gestion de leurs données.

Il est important de savoir si l'État entier est responsable ou si c'est l'institution judiciaire qui le sera, car ce n'est pas une erreur des magistrats mais de l'institution qui leur fournit les ressources nécessaires pour fonctionner.

Dans tous les cas, l'avocat qui devrait vous défendre sera également confus quant à la manière d'aborder les problèmes, donc les chances que les justiciables abandonnent et baissent la tête sont élevées.

Une décision légalement validée par la haute cour ou toute autre instance, inférieure à 10 000 EUR.

Enfin, une autre note intéressante concerne le problème des sceaux électroniques des tribunaux, qui ne respectent en aucun cas les normes européennes obligatoires.

Comme le notaire ne peut pas "légaliser" un pouvoir ou tout autre document depuis les toilettes, il doit suivre certaines étapes, apposer un tampon, ajouter un relief sur les pages, etc., de même, les signatures électroniques devraient être protégées par certains mécanismes.

Bien que les règlements et normes obligatoires de l'UE prévoient cela, afin de prévenir les contrefaçons plus difficiles à identifier, les tribunaux en Roumanie, qui ont des signatures de CertSign, ne respectent pas ces obligations et ignorent les demandes de rectification de cet aspect.

Toutes les citations au format électronique, nulles de droit

Sans entrer dans la théorie juridique qui est ennuyeuse pour la plupart des non-professionnels, la loi stipule que pour la citation au format électronique, des signatures électroniques avancées doivent être utilisées. De plus, le règlement européen confère un effet juridique équivalent aux sceaux électroniques qualifiés.

Le même règlement stipule que ces sceaux doivent être presque impossibles à falsifier (coûts de millions à milliards d'EUR), afin qu'ils aient l'effet juridique des sceaux électroniques.

Si ces aspects ne sont pas respectés, la signature électronique ou le sceau électronique avancé appliqué n'est plus qualifié, mais a seulement une valeur de commencement de preuve.

Lorsque la loi impose une condition de forme (comme le fait d'être timbré, d'être signé à la main, ou autre), et que vous ne la respectez pas, l'effet qui en résulte est NULLITÉ ABSOLUE (indique que l'acte n'a pas produit et ne produira jamais d'effets juridiques)

Si vous avez été cité électroniquement par un tribunal en Roumanie, sachez que cette citation est nulle de plein droit. Ci-dessous, je vous montre comment vérifier cela, et je vous fournis même un fichier pour effectuer cette vérification ainsi qu'un site où vous pouvez le faire gratuitement.

Application Web de Démonstration DSS

J'ai introduit cette problématique devant le tribunal dans une exception soulevée où le tribunal a nié la validité de certaines signatures électroniques que nous avons utilisées (car ils vérifient la signature électronique par rapport à une "photo").

De plus, comme la loi permet la citation avec une "Signature Électronique Qualifiée" par télécopie (ce qui est techniquement impossible, il suffit de fournir un code QR avec le hash et les certificats utilisés pour la signature), il est clair que le législateur n'a aucune connaissance des signatures électroniques et ne les comprend pas.

Les réponses de la Cour suprême et de ces institutions, cryptiques ou absurdes

J'ai entrepris des démarches, les réponses de la Cour Suprême et des institutions concernées ont été cryptiques, illégales ou carrément absurdes.

ICCJ - Au stade de la plainte administrative car ils ne nous ont pas fourni les informations d'intérêt public :

Comme j'ai constaté que la Cour suprême évite de fournir ces informations (le délai légal a été dépassé deux fois), j'ai déposé une plainte administrative, comme le prévoit la loi. Heureusement, ClaudeAI me permet de soumettre rapidement des plaintes administratives.

ADR - Réponse partielle et évasive

Nous avons demandé à l'ADR des points de vue concernant plusieurs informations afin de clarifier la situation des actes juridiques émis par les tribunaux, et nous avons adressé la communication suivante à l'ADR :

Leur réponse, des gens ayant une apparence de rectitudeil ne répond pas aux questions, mais dit seulement que le fournisseur est accrédité. Le fait que X soit notaire ne signifie pas que X a correctement légalisé un document, et qu'il a un effet juridique.

En pratique, l'ADR refuse d'entrer dans le fond du problème et l'analyse de manière extrêmement superficielle, soit par manque de compétences techniques (bien qu'ils aient des compétences juridiques), soit par mauvaise foi étant amis avec CertSign qu'ils ont licencié.

Lorsque nous avons signalé leur manque de réponses, ils ont esquivé en invoquant la procédure, précisément parce que les problèmes ont été signalés en annexe avec un dossier en instance concernant la création d'une société, actuellement en phase de pourvoi devant la Cour de cassation.

Le président de l'ADR, avec qui j'ai discuté à plusieurs reprises, tant par téléphone que sur LinkedIn, ignore les problèmes bien qu'il en ait connaissance.

Solvit Roumanie déclare de manière vague que les citoyens roumains ne sont pas protégés par le droit européen.

Solvit Roumanie, un organisme européen qui peut s'impliquer pour garantir le respect des règlements européens, y compris dans les procédures administratives des tribunaux, se dérobe.

Il est évident que la réponse donnée par SOLVIT ROUMANIE est absurde, car les règlements européens ainsi que le traité fondamental sur la base duquel SOLVIT doit fonctionner interdisent cela, comme je l'ai expliqué ici :

Clip explicatif (très technique) :

Lorsque j'ai signalé à la DNSC (en vain), j'ai présenté une vidéo dans laquelle j'ai discuté théoriquement du problème qui permet la falsification des décisions légalisées.

Ancien problèmes (bientôt disponible) :

Nous attendons la résolution d'autres vulnérabilités qui seront rendues publiques après leur traitement par le CSM / les tribunaux, en collaboration avec le DNSC.

Ils incluent :

• Instants où des injections SQL dans la base de données ECRIS (les solutions peuvent être modifiées)
• D'autres pour lesquels je ne peux pas encore donner de détails

Conclusion

Je vais conclure abruptement, car les réalités parlent d'elles-mêmes, et il n'est pas utile de discuter ou de spéculer sur l'évident.

Il est cependant certain que le système judiciaire qui soutient la Roumanie reste fortement vulnérable, en raison des erreurs continues commises par les personnes engagées dans ces institutions, indolentes face aux problèmes et indifférentes aux dangers et aux préjudices causés aux victimes.

Actuellement, les institutions publiques se soucient peu de vos données, se soucient peu si vous êtes victimes de chantage, se soucient peu si des informations sensibles sur votre vie familiale sont divulguées.

Aucune des démarches que j'ai entreprises n'a permis de notifier les victimes concernant les vulnérabilités. La seule notification faite par RAMO était vague, ne renseignant pas le public sur l'impact, et a été émise après qu'ils aient réellement subi une attaque.

Après que nous leur avons communiqué à plusieurs reprises les problèmes. Les autres institutions n'ont même pas pris d'initiatives, que pourraient-elles donc rapporter, comme le prévoit la loi, les violations de données qui ont affecté leur intégrité.

Et si les problèmes signalés ne sont pas notifiés, les problèmes cachés sont-ils jamais connus des institutions et prennent-elles les mesures nécessaires ? Les problèmes que je signale, en tant que personne occupée qui découvre souvent de tels problèmes par accident, sont-ils les seuls à affecter ces systèmes ?

Ressources Utiles :

Ci-dessous, nous avons préparé une liste de ressources utiles pour les journalistes ou toute personne souhaitant s'informer sur la manière dont nous avons signalé ces problèmes et les mesures prises.

Situation RAMO + INSTANTES EN ROUMANIE :

Situation Instance - Problèmes de Signatures Électroniques :

Les documents pour valider le problème, qui peuvent être utilisés par les avocats pour contester la légalité des citations au format électronique comme étant nulles de plein droit (ne respectent pas les conditions de forme) :

Réponse de l'ADR, CSM concernant les problèmes :

Autres à venir bientôt.

Réponse du DNSC :

Réponse de l'ANSPDCP :

Les réponses des institutions impliquées

Ci-dessous, nous avons ajouté les réponses des institutions qui ont été notifiées concernant les lacunes, afin de faciliter l'accès.

Réponse donnée par la DNSC (réf. problèmes de sceaux électroniques) le 04.09.2024

La réponse donnée par l'ANSPDCP le 05.09.2024 :

Réponse donnée par la Cour d'Appel de Constanța le 06.09.2024 :

Réponse donnée par le CA Craiova - Forward au Parquet confirmée le 07.09.2024 :

Le week-end, nous recevons une notification que notre e-mail a été reçu par le parquet près du tribunal de Craiova, probablement après un transfert de la part de la CA Craiova.

La compromission de Rejust.ro, confirmée par le DNSC le 12.09.2024 :

La compromission de Rejust.ro, confirmée et suivie par le CSM :

L'inspection judiciaire refuse de se saisir d'office et demande des informations dans la stratégie de modèle spécifique :

ICCJ, après avoir confirmé qu'il allait donner une réponse, fait marche arrière et décide que la responsabilité incombe à l'ADR.