Panama Papers : comment ces données ont-elles été obtenues ?

panama papers
panama papers

Vous en avez sans doute entendu parler ces derniers jours de l'affaire des Panama Papers. Mais oui ! C'est l'affaire qui désigne la fuite massive des documents de Mossack Fonseca, le cabinet panaméen qui gère des compagnies offshores.

Tandis que la presse continue de donner des détails sur ces documents, il convient de se demander comment ces données ont-elles été obtenues ? S’agit-il d’un employé du cabinet d’avocats panaméen Mossack Fonseca qui a décidé de divulguer des documents comme l’a fait Edward Snowden ?

Lors d’une interview avec Reuters, Ramon Fonseca, l’un des fondateurs du cabinet d’avocats a affirmé avoir été victime d’un piratage informatique opéré depuis des serveurs étrangers. « nous avons effectué un audit interne. Il ne s’agit pas d’une fuite, il s’agit d’un piratage » a-t-il martelé.

Le piratage des serveurs du cabinet a permis à des hackers inconnus d'extraire 2,6 To de données, dont 4,8 millions de messages électroniques, 2,2 millions de fichiers PDF, 1,1 million d'images, et 320 000 documents au format texte.

Mais comment ils ont pu piraté ces données ?

Un représentant de Mossack Fonseca a confirmé que le piratage a été mené à partir de la messagerie. On ne sait pas comment il s’est produit, mais les tests réalisés par des chercheurs en sécurité externes pensent que le cabinet Mossack Fonseca n'a pas activé les protocoles de sécurité TLS pour chiffrer ses e-mails.

« Il y a plusieurs façons de mener une attaque sur un serveur de mail », a expliqué Zak Maples, consultant en sécurité pour le cabinet en cybersécurité MWR InfoSecurité. D’après le consultant, il semble que le serveur lui-même a été piraté, et non les boîtes mail individuelles.

Drupal et WordPress peuvent être la cause

D'autres sources corroborent la thèse du piratage, qui aurait pu être facilitée par des vulnérabilités au sein des CMS utilisés par Mossack Fonseca, à savoir les gestionnaires de contenus Drupal et WordPress.

Comme le rapporte Forbes, le site du cabinet fait tourner une vieille version de Drupal (7.23). Or cette version est antérieure à un patch de sécurité qui corrigeait une énorme faille à partir de la version 7.32.
Mais d’autres chercheurs en sécurité ont découvert une autre porte qui aurait pu permettre à un hacker de prendre le contrôle des serveurs. Si le site client du cabinet est sous Drupal, le site principal est lui sous WordPress.

La société Wordfence, spécialisée dans la sécurité de l’omniprésent gestionnaire de contenus, a remarqué que l’installation WordPress utilisait une ancienne version du plugin Revolution Slider, connue pour présenter une faille sérieuse.

La version 3.0.95 de Revolution Slider contiennent en effet une vulnérabilité qui permet à un hacker de de télécharger n'importe quel fichier à partir du serveur. On peut par exemple télécharger facilement le fichier wp-config.php. Ce fichier contient toutes les informations confidentielles dont WordPress a besoin pour accéder à la base de données du site.

L’entreprise note qu’un attaquant aurait donc pu prendre le contrôle du serveur sur lequel se trouvait l’installation WordPress...Le même serveur qui hébergeait les e-mails du cabinet.

Qui est le pirate ?

La source est inconnue. Et les journaux qui publient des articles sur les documents fuités ne connaissent probablement pas son identité. Une personne aurait transmis de façon anonyme via messagerie chiffrée ces documents en 2015 au journal allemand Süddeutsche Zeitung.