Annonce du 19. mai 2016

Panama Papers : le résultat d’une sécurité informatique négligée

Le monde financier, politique et juridique a été bouleversé par les Panama Papers. Mais comment a-t-il été possible de voler 2,6 To de données appartenant à Mossack Fonseca ?

Cette affaire est fiscale : politiciens, industriels et autres personnalités auraient utilisés des entreprises offshore pour réaliser de l’optimisation fiscale. Mais c’est aussi une affaire de sécurité informatique ! Même si nous n’avons encore aucune certitude sur la manière dont la fuite s’est précisément produite, c’est tout de même 2,6 To de données qui ont été volées chez Mossack Fonseca . Le cabinet-conseil juridique a déclaré que les données ont été volées à partir d’un serveur email attaqué, sans donner davantage de détails.

Plusieurs experts se sont penchés sur la question. Regardons quelques dérapages de sécurité constatés :

 


1. Mossack Fonseca utilise WordPress pour son site internet. Comme nous le savons, il est important de mettre à jour les sites internet Wordpress régulièrement à cause des failles qui ressortent très souvent. La version utilisée mi-avril a été mise à jour la dernière fois il y a cinq mois.
2. Le serveur WordPress utilisait le même serveur que la base de données contenant tous les fichiers client.
3. Le site internet de Mossack Fonseca utilise un plug-in Wordpress propice aux fuites : Revolution Slider. Le plug-in a été attaqué régulièrement depuis 2014.
4. Les détails d’identification du serveur email étaient stockés en texte dans un autre plug-in WordPress.
5. Il y avait un portail où les clients pouvaient s’identifier. Une version de Drupal propice aux fuites était utilisée à ces fins et contenait 25 vulnérabilités différentes. Drupal n’a pas été mis à jour depuis 2013.
6. Le serveur email de Mossack Fonseca n’a pas été mis à jour depuis 2009 et contenait par conséquence beaucoup de failles de sécurité.
7. Le protocole hasardeux SSL v2 était utilisé pour le portail client.
8. Le site était vulnérable aux injections SQL.
9. Les emails n’étaient pas chiffrés.
10. Différents experts émettent également l’hypothèse qu’un espionnage interne pourrait être à l’origine de la fuite.


Même s’il est difficile de savoir si une ou plusieurs de ces failles ont été utilisées dans l’attaque, il parait évident que la sécurisation des informations du cabinet de conseil était trop faible. Mais le vol de données est un symptôme qui est présent dans tous les secteurs. D’une manière générale, la sécurité de l’information et l’informatique est bien souvent le parent pauvre des entreprises. Les directives de protection des données de la commission européenne qui vont rendre illégales l’attitude laxiste face à la sécurité des informations, ne peut qu’être bénéfique. Même si l’on peut craindre qu’il n’y ait aucune action des entreprises jusqu’à ce que tombent les premières amendes.

Annonce du 19. mai 2016

Contact Presse

G DATA Software France SARL

Jérôme Granger

Public Relations Manager France

2A, rue Danton

92120 Montrouge

Tél: +33 (0)1 41 48 51 46

Mail: Jerome.granger@remove-this.gdata.fr