Eddy Willems
Panama Papers: le résultat d’une sécurité IT négligée
Les mondes financier, juridique et politique ont été mis sens dessus dessous par les révélations des Panama Papers. Mais comment des inconnus ont-ils donc pu dérober aussi aisément 2,6 téraoctets de données chez Mossack Fonseca?
Par le truchement de petites entreprises offshore, des politiciens influents, capitaines d’industrie et autres sportifs de haut niveau semblent à grande échelle opter pour la fraude fiscale (ou, pour l’écrire de manière quelque peu diplomatique, ils veulent éluder l’impôt. Si ce n’est certes pas punissable par définition, c’est moralement condamnable, comme on a tôt fait de le dire généralement après coup).
Mais il y a un secteur qui ne s’est pas encore prononcé sur cette méga-fuite de données, à savoir celui de la sécurité IT. L’on ne sait pas encore comment s’est effectué ce vol d’informations. Mossack Fonseca (MF), le bureau-conseil juridique à qui 2,6 téraoctets (!) de données ont été dérobés, pense lui-même que le vol a été commis via un serveur e-mail piraté et au moyen d”une attaque lancée sur la base de données’, mais sans dévoiler d’autres détails. L’entreprise déclare avoir entamé une enquête approfondie.
Heureusement, le monde de la sécurité IT s’avère très secourable dans ce genre de mystères. Divers experts en sécurité se sont déjà penchés sur l’affaire. Il en est résulté entre-temps déjà plusieurs théories plausibles car bien étayées. Et c’est réellement l’effroi qui domine. Je vais ci-après passer en revue quelques problèmes de sécurité relevés, même si je ne suis évidemment pas du tout certain qu’ils aient été à la base du modus operandi des pirates.
- 1Le site web de MF est un site web WordPress. Comme on le sait, il est nécessaire de mettre très régulièrement à jour les sites WordPress, parce que l’on y trouve très souvent des brèches. La version qui y tourne actuellement, a été actualisée la dernière fois il y a trois mois.
- Le serveur WordPress fonctionnait sur le même réseau que la base de données contenant tous les dossiers des clients.
- Le site web de MF utilise un plug-in WordPress présentant des failles: Revolution Slider. Ce plug-in est activement attaqué depuis 2014.
- Les données de login du serveur mail étaient conservées en mode texte dans un autre plug-in WordPress.
- Il y avait un portail clientèle, où les clients pouvaient se connecter. Dans ce but, c’est une version poreuse de Drupal qui était utilisée. Elle contenait 25 failles de sécurité différentes. Drupal n’avait plus été actualisé depuis 2013.
- Le serveur mail de MF n’était plus actualisé depuis 2009 déjà et contenait donc aussi des tas de failles de sécurité.
- Pour le portail clientèle, l’on utilisait le dangereux protocole SSL v2.
- Le site web était vulnérable aux injections SQL.
- Les courriels n’étaient pas cryptés.
- En raison des caractéristiques de la fuite (la grande quantité de données et leur révélation au compte-gouttes), plusieurs experts estiment qu’il s’agit à coup sûr d’un ‘inside job’. Ce serait typiquement l’oeuvre d’un employé qui n’a pas eu en une fois accès à toutes les données, mais qui a eu le temps à chaque fois de voler des fragments d’informations sur une période assez longue.
Pour les huit premières théories, l’on pense qu’il a été question d’un grave défaut dans la protection des informations et dans la sécurité IT. Et pour la dernière théorie, tel n’est pas le cas par définition, même s’il existe à coup sûr aussi des technologies qui compliquent fortement l”inside job’. C’est ainsi par exemple que l’accès à des données sensibles peut être limité aux seules personnes, qui en ont la charge. L’accès peut être également rendu impossible à des fins de copies numériques d’informations contenues dans la base de données. Un voleur de données très motivé peut évidemment encore et toujours réaliser des photos d’écran ou recourir au bon vieux stylo et au papier, mais c’est quasiment impossible quand il est question de 11,5 millions de documents contenant 2,6 téraoctets d’informations.
-Une piètre sécurité IT et des informations est plutôt la règle que l’exception-
Pourquoi ce vol est-il à ce point intéressant pour le reste du monde? Parce que cette fuite de données est le symptôme d’un problème qui se manifeste dans tous les secteurs. Selon l’expert en sécurité de l’information, Daniel Dresner, une piètre sécurité IT et des informations est plutôt la règle que l’exception dans les bureaux d’avocats. Et ce, alors que les bureaux d’avocats sont par excellence des entreprises qui disposent de renseignements qui doivent demeurer confidentiels. En outre, ces bureaux d’avocats occupent des personnes d’un niveau d’intelligence supérieur à la normale, qui possèdent aussi une connaissance de la loi au-dessus de la moyenne. Les bureaux d’avocats ne peuvent donc pas se retrancher derrière l’excuse: ‘nous ne savions pas que nous étions obligés de bien protéger les données de nos clients’. Je peux donc très bien m’imaginer que l’état de la protection des informations est encore pire dans d’autres secteurs.
Sur ce plan, je pense que la nouvelle Data Protection Directive de la Commission européenne doit de ce fait entrer en vigueur dans les plus brefs délais. Cette directive rend en effet entièrement illégal ce genre d’attitude laxiste vis-à-vis de la sécurité des informations. Je crains cependant qu’elle ne fasse vraiment impression qu’après que soient infligées les premières méga-amendes.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici