En ce moment

Mossack Fonseca : une cible facile pour les pirates

Posté le 11 avril 2016
par Philippe RICHARD
dans Informatique et Numérique

C’est bien connu, « pour vivre heureux, vivons cachés » affirmait Jean-Pierre Florian au XVIIIe siècle. Manifestement, les responsables du cabinet d’avocats panaméen Mossack Fonseca n’ont pas appliqué ce conseil ! Leur site, et surtout les données qu’il stocke, n’intègre aucune protection contre le vol d’informations et l’infiltration.

Dans la presse, ce cabinet joue les victimes. « Nous avons un rapport technique qui dit que nous avons été piratés depuis des serveurs étrangers », a déclaré à l’AFP Ramon Fonseca Mora, directeur et cofondateur du cabinet, en précisant avoir « déposé plainte auprès du parquet ». « Personne ne parle du piratage » dans la presse qui abonde depuis deux jours sur les révélations, s’offusque Ramon Fonseca, alors que « c’est le seul crime qui a été commis », selon lui.

En réalité, leur principale faute est de n’avoir mis en place aucune politique de sécurité ! Même le B-A-BA n’est pas appliqué. « Le niveau de sécurité  est pitoyable », affirme Olivier Laurelli, un expert en sécurité informatique et cofondateur du site Reflets.info. « Ils ont des applications grand public qui ne sont pas mises à jour depuis près de trois ans. À mon avis, il n’y a pas eu qu’une seule faille. » Bilan : 25 failles de sécurité connues pour son CMS (Content Management System) : Drupal. L’une de ces failles, appelée Drupalgeddon et repérée en octobre 2014, permet à des pirates dotés de bonnes connaissances techniques de récupérer des données.

Pas étonnant que leur « site est une porte d’entrée et leur infrastructure est très bavarde », constate Olivier Laurelli. Pas besoin d’être un as en intrusion pour récupérer des informations sensibles (même si aucun document confidentiel n’est immédiatement accessible en naviguant sur le site). Reflets.info a ainsi déniché les fichiers de sauvegarde d’une application interne et d’un jeu de données associé. Les fichiers de configuration donnant eux accès au login et mot de passe, affichés en clair, c’est-à-dire facilement récupérables.

Par contre, il suffit de s’appeler Google pour enregistrer à l’insu de ce cabinet de nombreuses informations sur les « Panama papers » ! Reflets.info a en effet découvert la présence d’un script Google Analytics. Il permet en effet au géant américain de stocker les adresses IP des personnes se connectant…

Comme d’autres sites et entreprises, ce cabinet ne craint pas d’affirmer que les « informations n’ont jamais été mieux protégées qu’avec le portail client sécurisé de Mossack Fonseca ». De nombreuses affaires de vol de données personnelles ou sensibles montrent au contraire que les entreprises ne se soucient guère de la confidentialité des informations. Fin 2015, le fabricant de jouets VTech a été victime d’une importante fuite de données de cinq millions d’adultes et de 200 000 enfants. En avril de la même année, France Télévisions avait laissé échapper 100 000 contacts. Enfin, l’été dernier, le site de rencontres extra-conjugales Ashley Madison avait fait la Une des médias après le piratage de 32 millions d’adresses email et de comptes d’utilisateurs.

Dernière preuve que Mossack Fonseca ne se souciait guère de la protection des données : les courriels envoyés et reçus par ses employés n’étaient pas chiffrés. Autre lacune, l’utilisation d’une version d’Outlook Web Access, le logiciel de Microsoft, datant de… 2009.

Un cas d’école pour tous les administrateurs de sites web et de serveurs, mais qui est loin d’être unique.

Philippe Richard


Pour aller plus loin

Dans les ressources documentaires