Mossack Fonseca cabinet d’avocat et champion de l’optimisation fiscale mais aussi champion de la fuite tout court. En particulier de celle d’information qui atteint tout de même le chiffre record de 11,5 millions de documents représentant 2.6To. Ce trou béant découvert peut -être, mais communiqué par un certains John Doe au Süddeutsche Zeitung lequel journal a ensuite réalisé son travail d’investigation et de révélation à partir du 3 avril 2016, plus connu ssous le nom de “Panama Papers”. La vrai question n’est pas de savoir qui est concerné, c’est du voyeurisme, mais de savoir comment cela a-t-il pu se produire?
Il n’y a bien sur rien de certains, mais John Doe était-il une taupe au sein du cabinet ayant patiemment recueilli ces informations dans l’optique de les publier? Ou un hacker particulièrement doué qui a utilisé les faiblesses du système informatique pour s’y infiltrer puis pour exfiltrer ces informations, ou pire encore un simple stagiaire qui a ramassé par hasard ces informations sur un disque dur qui trainait. Quoi qu’il en soit l’individu qui a réalisé la communication aux médias ne l’a à priori pas fait pour de l’argent comme indiqué ici ou ici.
Il semble d’après un certains nombres d’articles que le système informatique du cabinet soit un modèle du genre de ce qu’il ne faut pas faire.
La liste est longue comme le bras (détaillé ici, ici ou encore la), elle commence par des CMS (Content Management System – Système de gestion de contenu) pas à jour, pas moins de 25 failles connues entre WordPress et Dupral. Pour ce dernier la version est vieille de 3 ans. Dans la suite de la liste à la Prévert il y a une version d’Outlook Web Access ancienne datant de 2009, un serveur de messagerie qui n’utilise pas de chiffrement TSL, un serveur HTTP mal configuré qui montre une architecture qui interroge, un script Google Analytics qui ne garanti pas la confidentialité des personnes qui se connectent, une base de donnée avec des mots de passe simple.
Une telle cascade de malveillance car ce n’est plus de la maladresse là, est assez unique. Cela démontre que d’avoir des outils ce n’est pas suffisant, qu’il faut les configurer et les mettre à jour.
Il faut revenir sur le contexte, à savoir un cabinet d’avocat spécialisé disposant d’environ 500 salariés à travers le monde et devant probablement sous traiter une grande partie de son informatique.
Ce mécanisme montre là tout son avantage… pour le pirate.
- A savoir une non maintenance de la connaissance, comment expliquer autrement le fait qu’un outils ne soit pas mis à jour depuis 4 ou 5 ans? Une négligence criminelle?
- Un directeur des systèmes d’information sûr de lui et de son architecture, se cachant dernière la complexité du SI pour perdre le hacker, ou plutôt lui même…
Ce type d’entreprise montre une grande attention à la confidentialité des données en utilisant à tour de bras des clauses de NDA (Non-Disclosure Agreement – accord de non divulgation), la culture juridique de l’entreprise donne un sentiment de protection supérieur, mais qui malheureusement ne tient pas face à des failles techniques profondes du système d’information.
Une analyse des risques aurait probablement fait prendre conscience qu’un NDA est nécessaire mais qu’il doit être alliée à une vraie urbanisation du système d’information avec une défense en profondeur comme le conseil l’ANSSI depuis 2004 aurait probablement permis d’éviter à Mossack Fonseca d’avoir a faire faire un leak d’une ampleur inégalé dans l’histoire. Mais surtout de protéger au mieux les données et les intérêts de ses clients.