Fin juillet, juste avant le début des congés estivaux, une groupe d'avocats a détecté un vide sécuritaire dans le système LEXNET du ministère de la justice, qui permet d'échanger des informations et documents portant sur des affaires entre les tribunaux, avocats, procureurs et autres acteurs judiciaires (il s'agissait notamment des dossier, jugements, résolutions, etc.).
Système en panne
Depuis le lancement du système LEXNET, ce dernier s'est vu constamment critiqué et montré du doigt par les professionnels de la justice et les associations de juges, en raison des problèmes de sécurité et de séparation des pouvoirs détectés.
Une faille dans le système, datant du 27 juillet dernier, a notamment permis à tout utilisateur d'avoir accès à tout type d'affaire ou fichier du système, de télécharger, supprimer, modifier les fichiers de tout autre utilisateur (des fichiers comprenant des informations confidentielles et privées, telles que des documents d'identification, des informations bancaires ou financières, des dossiers médicaux, des preuves, etc.).
Cinq heures après l'identification de la faille, le ministre de la Justice a fermé le service. Une heure après cette interruption, il a indiqué que le problème avait été résolu et affirmé qu'aucun accès inapproprié n'avait eu lieu.
Le lendemain, vendredi 28 juillet, le ministère a annoncé que le système serait de nouveau fermé de 16h30 au lundi suivant, jusqu'à 20h, en raison de missions techniques de maintenance opérées sur le système. Le ministre de la Justice a convoqué un Comité de crise le dimanche 30 juillet.
Des questions de transparence
Suite à cette réunion de crise, le ministère a indiqué qu'il ouvrirait une enquête interne. En outre, le Conseil général du judiciaire a affirmé qu'il enquêterait en vue de savoir si oui oui non il y a eu un violation de la loi relative à la protection des données (ce qui requiert la coopération du ministère de la justice).
Cependant, étant donné le manque de transparence (seul le titulaire peut avoir accès, et toute enquête indépendante ne pourra se baser que sur ce que ce dernier décide de divulguer), les évaluateurs externes ne seront pas à même d'accéder à plusieurs informations : qui a eu un accès non autorisé, pendant combien de temps la faille a-t-e elle été effective, qu'est-ce qui a été fait pendant ce laps de temps, etc.
Seul le ministère de la justice (le gouvernement) peut réellement confirmer ce que s'est produit, et l'ampleur des conséquences de ces lacunes en matière de sécurité des données.
Les experts de l'ONU se voient demander d'intervenir
Selon les experts, bien que le vide sécuritaire ait été résolu, cela ne prévient pas de possibles vides sécuritaires ou failles de se produire encore à l'avenir. Toute la journée du 31 juillet, LEXNET a continué de présenter des défaillances comme par exemple des erreurs de notifications (envoyées à un avocat alors qu'elles étaient destinées à d'autres professionnels/collègues), ce qui semble indiquer de graves problèmes.
Étant donné que les droits en matière de vie privée ont peut-être violés, l'ONG RIS espère que les experts des Nations Unis compétents adresserons un appel aux autorités espagnoles.
