Le 3 avril, on a assisté à la publication des premiers documents issus de la plus grande fuite de données de l’histoire. Contrairement aux fuites de données d’Ashley Madison (30 Go) et Sony Pictures (230 Go) qui ont exposé au plus quelques centaines de gigaoctets de données, l’affaire Panama Papers représente un total de 2,6 téraoctets de données.Les Documents du Panama (Panama Papers) désignent la fuite de plus de 11,5 millions de documents confidentiels issus du cabinet d'avocats panaméen Mossack Fonseca. Cette fuite dévoile des informations sur plus de 214 000 sociétés ainsi que les noms de leurs actionnaires. Ce qui secoue le plus dans cette affaire, c’est que des politiciens (y compris des chefs d’États et de gouvernements) de plusieurs pays ainsi que des personnes proches, des milliardaires, des sportifs de haut niveau ou des célébrités sont directement incriminés par les révélations provenant de la fuite de données.
Ces documents concernent en effet des sociétés dites offshore, que la firme Mossack Fonseca a aidé à créer, ou avec lesquelles ses clients ont été en contact. Si en théorie les sociétés offshore peuvent avoir un but légitime, dans la pratique elles servent en général de sociétés-écrans qui permettent l'évasion fiscale ou le blanchiment d'argent illégalement perçu.
Au milieu de cette affaire dans laquelle les médias espèrent trouver le scoop de l’année, notamment en ce qui concerne les éventuelles pratiques frauduleuses des politiciens et personnalités importantes, le cabinet Mossack Fonseca crie au piratage sans vraiment se faire entendre.
Ramon Fonseca, l’un des fondateurs du cabinet d’avocats spécialisé dans l’établissement des entreprises offshore, a en effet déclaré lors d’une interview avec Reuters que Mossack Fonseca n’a violé aucune loi et que ses opérations sont toutes légales. Il ajoute encore que personne n’a aidé personne à faire de l’évasion fiscale, en écartant par ailleurs l’hypothèse selon laquelle un employé qui aurait voulu dénoncer des malversations réalisées par l’entreprise serait à l'origine de cette fuite. Ramon Fonseca évoque plutôt une cyberattaque : « nous avons effectué un audit interne. Il ne s’agit pas d’une fuite, il s’agit d’un piratage » a-t-il affirmé, en pointant du doigt une violation du serveur de messagerie du cabinet.
Examinant donc la piste de piratage, Forbes a identifié des installations obsolètes et vulnérables de WordPress et Drupal qui pourraient avoir aidé les attaquants dans la fuite des données. Même s'il n’est pas encore confirmé que les vulnérabilités dans ces systèmes de gestion de contenu (CMS) sont à l’origine du piratage évoqué, cela témoigne d’une politique de sécurité déplorable chez le cabinet juridique panaméen, et montre à quel point certaines entreprises peuvent accorder peu d’intérêt à l’aspect IT et sécurité de leurs activités.
Pour en venir aux vulnérabilités, il faut noter, comme cela a déjà été évoqué, que Mossack Fonseca utilisait une version de Microsoft Outlook Web Access datant de 2009 pour accéder à ses emails non chiffrés. Mais en plus de cela, d’après Forbes, l’entreprise utilisait une version de WordPress vieille de trois mois pour son site principal, alors que celle-ci contient des vulnérabilités bien connues. Plus grave encore, le portail utilisé par les clients du cabinet pour accéder aux données sensibles exécutait une version de Drupal vieille de près de trois ans (Drupal 7.23). Depuis la sortie de cette version, il y a eu une vingtaine de mises à jour qui ont été publiées. Certaines étaient relatives à des vulnérabilités très critiques qui auraient pu être exploitées pour provoquer la fuite de données.
Pour l’instant, les enquêteurs n'ont pas confirmé si les vulnérabilités des logiciels ont été utilisées pour accéder aux données. Mais cette hypothèse n’est pas à exclure, surtout s'il s'agit d'un piratage plutôt qu'une tentative d'un employé de dénoncer des malversations comme le cas Snowden.
Sources : WP Tarven, Forbes
Et vous ?
Qu’en pensez-vous ?Voir aussi :
Panama Papers : « nous avons été victimes d'un piratage et personne n'en parle », le cabinet Mossack Fonseca dénonce une attaque de son serveur mail
Envoyé par GPPro
