BFM Business

Panama Papers : l'informatique de Mossack Fonseca était un vrai gruyère

Vue extérieure du bâtiment qui héberge les locaux de Mossack Fonseca

Vue extérieure du bâtiment qui héberge les locaux de Mossack Fonseca - RODRIGO ARANGUA / AFP

Plusieurs éléments techniques pointent vers une grande négligence dans la maintenance technique des serveurs web. Un pirate s'est peut-être appuyé sur cette faille pour dérober les téraoctets de données financières.

Comment les 2,6 To de données – qui sont à l'origine des révélations des Panama Papers – ont-ils pu sortir des serveurs de la firme panaméenne Mossack Fonseca ? D'après l’AFP, les dirigeants de cette société estiment avoir été victime par un tiers. "Nous avons un rapport technique qui dit que nous avons été piratés depuis des serveurs étrangers", a déclaré il y a quelques jours Ramon Fonseca, directeur et cofondateur du cabinet, précisant avoir "déposé plainte auprès du parquet". Pour l'instant, il est impossible de confirmer cette hypothèse, mais elle est probable. En effet, cette entreprise était visiblement loin d'appliquer les bonnes pratiques en matière de sécurité informatique.

Ainsi, un membre de l'association de défense des droits citoyens ACLU a découvert par un test en ligne automatisé que sur les serveurs e-mail de cette entreprise, certains mécanismes de protection basiques n'étaient pas activés, tel que le chiffrement TLS. "Cabinets juridiques: si vous ne voulez pas vous retrouver comme Mossack Fonseca, dites à vos informaticiens de chiffrer vos e-mails", explique l'expert dans un message Twitter, sur un ton moqueur.

Mais ce n'est pas tout. Selon Forbes, l'infrastructure web du cabinet de droit panaméen s'appuierait sur plusieurs logiciels vulnérables car non mis à jour. Le système de gestion de contenu du site web vitrine est une version vulnérable de WordPress datant de plus de trois mois. Et c'est encore pire pour le système de gestion de contenu du service d'accès clients prétendument "sécurisé". Il est en réalité basé sur une version de Drupal qui n'aurait pas été mise à jour depuis trois ans, avec à la clé plus de 25 vulnérabilités connues. Toutes ces différentes vulnérabilités auraient pu permettre à un pirate d'accéder à distance au serveur web puis, par mouvement latéral, d'atteindre les serveurs internes de l'entreprise

Un site web vulnérable et une base Oracle

Le site UnicornRiot va encore plus loin dans l'analyse. Selon lui, l'infrastructure web de Mossack Fonseca était tellement mal paramétrée que n'importe qui pouvait accéder à une partie de son code source en PHP (ce n'est plus le cas aujourd'hui). Ce qui aurait pu faciliter la détection de vulnérabilités.

Les éléments techniques trouvés dans ces fichiers indiquent, par ailleurs, que le système Drupal était visiblement connecté directement à une base de données de type Oracle, sur laquelle était sans doute stockée des données financières des clients. En effet, parmi les fichiers de code Drupal figure une fonctionnalité baptisée "portfolio", qui désigne très probablement une interface graphique pour accéder à des informations patrimoniales (actions, participations, etc.). Si ces hypothèses sont exactes, il se peut que le pirate soit passé par Drupal pour siphonner la base Oracle.

La morale de l'histoire est donc simple: il faut toujours avoir des systèmes correctement mis à jour e bien configurés. Au minimum.