Mossack Fonseca était visiblement peu soucieux de la sécurité de son système informatique, ce qui est plus que surprenant pour une entreprise détentrice de secrets financiers hautement sensibles. © Rawpixel.com, Shutterstock

Tech

Panama Papers : une sécurité négligée a-t-elle favorisé la fuite ?

ActualitéClassé sous :Sécurité , panama papers , mossack fonseca

Mossack Fonseca, le cabinet d'avocats au cœur du scandale des Panama Papers, affirme avoir été victime d'un piratage informatique qui a vu plus de 11 millions de documents atterrir entre les mains d'un consortium de journalistes qui ont pu jeter un coup de projecteur d'une ampleur inédite sur le fonctionnement des paradis fiscaux. Selon plusieurs experts, le système informatique de l'entreprise souffrait de graves failles de sécurité qui ont pu faciliter cette fuite.

Les « Panama Papers », ce sont 2,6 téraoctets de données contenant 11,5 millions de documents décrivant en détail les montages financiers sophistiqués pratiqués par nombre de sociétés, de grandes fortunes, de célébrités mais aussi de dirigeants politiques pour échapper à l'impôt. À l'origine de cette fuite sans précédent, une source anonyme dont on ignore tout. S'agit-il d'un employé de Mossack Fonseca d'où proviennent ces documents ou bien plutôt, comme l'affirme ce cabinet d'avocats panaméen, d'un piratage informatique ?

Si toutes les options sont envisageables à l'heure actuelle, il semblerait que Mossack Fonseca a fait preuve d'une surprenante négligence quant à son système informatique. Plusieurs experts en sécurité interrogés par la version britannique du magazine Wired ont expliqué que celui-ci était « criblé de failles » qui ont très bien pu être exploitées par un hacker.

Pour commencer, le portail clients de Mossack Fonseca utilise une version du système de gestion de contenu (CMS) libre et open-source Drupal affectée de 25 vulnérabilités connues. L'une d'elles peut être exploitée pour pratiquer une injection SQL qui permet une prise de contrôle à distance du serveur. Ce n'est pas tout. Le portail Web n'avait pas été mis à jour depuis 2013 et il était exposé à la faille Drown qui affecte les serveurs utilisant une version obsolète du protocole SSL v2 de sécurisation des échanges sur Internet.

On ignore si les importantes failles dans le système informatique de Mossack Fonseca ont été exploitées pour pirater la firme et lui dérober 2,6 téraoctets de données. © Nevodka, Shutterstock

Les courriels de Mossack Fonseca n’étaient pas chiffrés

Concrètement, un pirate peut se servir de cette vulnérabilité pour déchiffrer des communications protégées en HTTPS et récupérer par exemple des mots de passe et toutes sortes d'informations sensibles. Quoi d'autre encore ? Pour ses communications par courrier électronique, Mossack Fonseca utilise la plateforme de messagerie en ligne Outlook Web Access qui n'avait pas été mise à jour depuis 2009. Wired cite encore une autre faille grâce à laquelle il est possible d'accéder à n'importe quel fichier installé sur le site simplement en devinant son adresse Web (URL).

Encore plus surprenant, il s'avère que les courriels envoyés par le cabinet d'avocats n'étaient même pas chiffrés. Des négligences incompréhensibles eu égard à la sensibilité des informations traitées. Reste à savoir si un pirate a oui ou non profité de ces failles de sécurité pour pénétrer le système et dérober ces données.

On ne sait rien du lanceur d'alerte qui a transmis ces données au quotidien allemand Suddeutsche Zeitung, lequel a choisi de travailler avec le Consortium international des journalistes d'investigation pour analyser en secret tous ces documents durant un an.

Certains observateurs penchent pour la théorie d'un État cherchant à dénoncer l'évasion fiscale. D'autres pensent qu'il pourrait s'agir d'un hacker qui, en balayant le réseau à la recherche de failles à exploiter, serait tombé sur ce trésor. Pour Mossack Fonseca il est évidemment moins dommageable d'invoquer une attaque menée depuis l'extérieur. Au final, il importe peu de savoir qui se cache derrière cette fuite. Au contraire, la protection de cette source est sans doute le meilleur moyen d'inciter d'autres lanceurs d'alerte à agir.