Le scandale Panama Papers reposerait sur une attaque en bonne et due forme du système d’information
«Panama papers», nouvel exemple de piraterie mené via la messagerie. Et nouveau record d’information substituées : 11,5 millions de documents confidentiels couvrant une période qui s’étale des années 1970 jusqu’à la fin de l’année 2015. Dans ces 2,6 To de données, on trouve 4,8 millions d’e-mails, 3 millions de pages de tableur, 2,2 millions de fichiers PDF, 1,1 million d’images (scans de passeports par exemple) et 320 000 documents au format texte.
Le scandale fait grand bruit depuis le 1er avril : les «Panama papers» révèlent qu’outre des milliers d’anonymes de nombreux chefs d’Etat, des milliardaires, des grands noms du sport, des célébrités ou des personnalités sous le coup de sanctions internationales ont recouru à des montages offshore pour dissimuler leurs actifs.
Piratage
Mis à mal, le cabinet d’avocats Mossack Fonseca -connu pour avoir créé ou administré plus de 214 000 entités offshore depuis quarante ans !- estime que le lanceur d’alerte pourrait être, plus simplement, un pirate informatique. Les documents étaient authentiques, leur fuite résulterait d’une attaque informatique en bonne et due forme… De toute façon, il avec 2,6 To, le terme ‘fuite’ n’est pas approprié; mieux vaut parler de ‘voie d’eau’. Les précédentes affaires The Hacking Team et Finfisher, où une attaque informatique a suffi à exposer l’ensemble des données de ces entreprises controversées, rappelle que le scénario n’a rien de fantaisiste.
«Personne ne parle du piratage» dans la presse qui abonde depuis deux jours sur les révélations, s’est offusqué Ramon Fonseca Mora, directeur et cofondateur du cabinet, «alors que c’est le seul crime qui a été commis», selon lui.
Des chercheurs en sécurité externe suggèrent que le cabinet Mossack Fonseca n’a pas activé les protocoles de sécurité TLS pour chiffrer ses e-mails. «Il y a plusieurs façons de mener une attaque sur un serveur de mail, a expliqué Zak Maples, consultant en sécurité pour le cabinet-conseil en cybersécurité MWR InfoSecurity. Ici, il semble que le serveur lui-même ait été compromis, et non les boîtes mail individuelles.»
Pas de force brute
Et Zak Maples de poursuivre : «Compte tenu du volume de données volées, les pirates n’ont pas essayé d’entrer dans les boîtes mail du cabinet d’avocats panaméen en menant des attaques par force brute. Pour parvenir à compromettre autant de ressources, ils ont probablement réussi à s’introduire plus largement dans les systèmes de l’entreprise. Ils ont peut-être réussi à entrer dans le réseau de Mossack Fonseca et à s’octroyer des privilèges élevés d’administrateur de domaine ou d’administrateur de messagerie. Ensuite, ils ont utilisé ces privilèges pour accéder et télécharger toutes les données conservées sur le serveur de messagerie…»
Ce qui veut dire, aussi, que les journaux qui publient des articles sur les documents fuités ne connaissent probablement pas l’identité des pirates. Il semblerait que la source ait été communiquée par tchat crypté et par e-mail.
Dans une réponse à l’ICIJ (International Consortium of Investigative Journalists), l’association qui réunit 107 journaux à travers le monde qui ont divulgué les informations, le cabinet panaméen -aujourd’hui sous tous les feux- souligne qu’«utiliser des informations/documentations obtenues de manière illégale est un crime». Et de lancer des poursuites.
