Panama Papers : des versions vulnérables de WordPress et Drupal auraient-elles contribué
à la plus grande fuite de données de l'histoire ?
Le 2016-04-07 14:33:07, par Michael Guilloux, Chroniqueur Actualités
Le 3 avril, on a assisté à la publication des premiers documents issus de la plus grande fuite de données de l’histoire. Contrairement aux fuites de données d’Ashley Madison (30 Go) et Sony Pictures (230 Go) qui ont exposé au plus quelques centaines de gigaoctets de données, l’affaire Panama Papers représente un total de 2,6 téraoctets de données.
Les Documents du Panama (Panama Papers) désignent la fuite de plus de 11,5 millions de documents confidentiels issus du cabinet d'avocats panaméen Mossack Fonseca. Cette fuite dévoile des informations sur plus de 214 000 sociétés ainsi que les noms de leurs actionnaires. Ce qui secoue le plus dans cette affaire, c’est que des politiciens (y compris des chefs d’États et de gouvernements) de plusieurs pays ainsi que des personnes proches, des milliardaires, des sportifs de haut niveau ou des célébrités sont directement incriminés par les révélations provenant de la fuite de données.
Ces documents concernent en effet des sociétés dites offshore, que la firme Mossack Fonseca a aidé à créer, ou avec lesquelles ses clients ont été en contact. Si en théorie les sociétés offshore peuvent avoir un but légitime, dans la pratique elles servent en général de sociétés-écrans qui permettent l'évasion fiscale ou le blanchiment d'argent illégalement perçu.
Au milieu de cette affaire dans laquelle les médias espèrent trouver le scoop de l’année, notamment en ce qui concerne les éventuelles pratiques frauduleuses des politiciens et personnalités importantes, le cabinet Mossack Fonseca crie au piratage sans vraiment se faire entendre.
Ramon Fonseca, l’un des fondateurs du cabinet d’avocats spécialisé dans l’établissement des entreprises offshore, a en effet déclaré lors d’une interview avec Reuters que Mossack Fonseca n’a violé aucune loi et que ses opérations sont toutes légales. Il ajoute encore que personne n’a aidé personne à faire de l’évasion fiscale, en écartant par ailleurs l’hypothèse selon laquelle un employé qui aurait voulu dénoncer des malversations réalisées par l’entreprise serait à l'origine de cette fuite. Ramon Fonseca évoque plutôt une cyberattaque : « nous avons effectué un audit interne. Il ne s’agit pas d’une fuite, il s’agit d’un piratage » a-t-il affirmé, en pointant du doigt une violation du serveur de messagerie du cabinet.
Examinant donc la piste de piratage, Forbes a identifié des installations obsolètes et vulnérables de WordPress et Drupal qui pourraient avoir aidé les attaquants dans la fuite des données. Même s'il n’est pas encore confirmé que les vulnérabilités dans ces systèmes de gestion de contenu (CMS) sont à l’origine du piratage évoqué, cela témoigne d’une politique de sécurité déplorable chez le cabinet juridique panaméen, et montre à quel point certaines entreprises peuvent accorder peu d’intérêt à l’aspect IT et sécurité de leurs activités.
Pour en venir aux vulnérabilités, il faut noter, comme cela a déjà été évoqué, que Mossack Fonseca utilisait une version de Microsoft Outlook Web Access datant de 2009 pour accéder à ses emails non chiffrés. Mais en plus de cela, d’après Forbes, l’entreprise utilisait une version de WordPress vieille de trois mois pour son site principal, alors que celle-ci contient des vulnérabilités bien connues. Plus grave encore, le portail utilisé par les clients du cabinet pour accéder aux données sensibles exécutait une version de Drupal vieille de près de trois ans (Drupal 7.23). Depuis la sortie de cette version, il y a eu une vingtaine de mises à jour qui ont été publiées. Certaines étaient relatives à des vulnérabilités très critiques qui auraient pu être exploitées pour provoquer la fuite de données.
Pour l’instant, les enquêteurs n'ont pas confirmé si les vulnérabilités des logiciels ont été utilisées pour accéder aux données. Mais cette hypothèse n’est pas à exclure, surtout s'il s'agit d'un piratage plutôt qu'une tentative d'un employé de dénoncer des malversations comme le cas Snowden.
Sources : WP Tarven, Forbes
Et vous ?
Voir aussi :
Les Documents du Panama (Panama Papers) désignent la fuite de plus de 11,5 millions de documents confidentiels issus du cabinet d'avocats panaméen Mossack Fonseca. Cette fuite dévoile des informations sur plus de 214 000 sociétés ainsi que les noms de leurs actionnaires. Ce qui secoue le plus dans cette affaire, c’est que des politiciens (y compris des chefs d’États et de gouvernements) de plusieurs pays ainsi que des personnes proches, des milliardaires, des sportifs de haut niveau ou des célébrités sont directement incriminés par les révélations provenant de la fuite de données.
Ces documents concernent en effet des sociétés dites offshore, que la firme Mossack Fonseca a aidé à créer, ou avec lesquelles ses clients ont été en contact. Si en théorie les sociétés offshore peuvent avoir un but légitime, dans la pratique elles servent en général de sociétés-écrans qui permettent l'évasion fiscale ou le blanchiment d'argent illégalement perçu.
Au milieu de cette affaire dans laquelle les médias espèrent trouver le scoop de l’année, notamment en ce qui concerne les éventuelles pratiques frauduleuses des politiciens et personnalités importantes, le cabinet Mossack Fonseca crie au piratage sans vraiment se faire entendre.
Ramon Fonseca, l’un des fondateurs du cabinet d’avocats spécialisé dans l’établissement des entreprises offshore, a en effet déclaré lors d’une interview avec Reuters que Mossack Fonseca n’a violé aucune loi et que ses opérations sont toutes légales. Il ajoute encore que personne n’a aidé personne à faire de l’évasion fiscale, en écartant par ailleurs l’hypothèse selon laquelle un employé qui aurait voulu dénoncer des malversations réalisées par l’entreprise serait à l'origine de cette fuite. Ramon Fonseca évoque plutôt une cyberattaque : « nous avons effectué un audit interne. Il ne s’agit pas d’une fuite, il s’agit d’un piratage » a-t-il affirmé, en pointant du doigt une violation du serveur de messagerie du cabinet.
Examinant donc la piste de piratage, Forbes a identifié des installations obsolètes et vulnérables de WordPress et Drupal qui pourraient avoir aidé les attaquants dans la fuite des données. Même s'il n’est pas encore confirmé que les vulnérabilités dans ces systèmes de gestion de contenu (CMS) sont à l’origine du piratage évoqué, cela témoigne d’une politique de sécurité déplorable chez le cabinet juridique panaméen, et montre à quel point certaines entreprises peuvent accorder peu d’intérêt à l’aspect IT et sécurité de leurs activités.
Pour en venir aux vulnérabilités, il faut noter, comme cela a déjà été évoqué, que Mossack Fonseca utilisait une version de Microsoft Outlook Web Access datant de 2009 pour accéder à ses emails non chiffrés. Mais en plus de cela, d’après Forbes, l’entreprise utilisait une version de WordPress vieille de trois mois pour son site principal, alors que celle-ci contient des vulnérabilités bien connues. Plus grave encore, le portail utilisé par les clients du cabinet pour accéder aux données sensibles exécutait une version de Drupal vieille de près de trois ans (Drupal 7.23). Depuis la sortie de cette version, il y a eu une vingtaine de mises à jour qui ont été publiées. Certaines étaient relatives à des vulnérabilités très critiques qui auraient pu être exploitées pour provoquer la fuite de données.
Pour l’instant, les enquêteurs n'ont pas confirmé si les vulnérabilités des logiciels ont été utilisées pour accéder aux données. Mais cette hypothèse n’est pas à exclure, surtout s'il s'agit d'un piratage plutôt qu'une tentative d'un employé de dénoncer des malversations comme le cas Snowden.
Sources : WP Tarven, Forbes
Et vous ?
Voir aussi :
-
r0dExpert éminentJe ne sais pas. En plus je ne vis plus en France depuis longtemps.
Mais j'ai l'impression que pour le "citoyen de base", c'est en fait exactement pareil. Parce qu'en ce qui concerne les politiques économiques et sociales, c'est à dire celles qui impactent directement le "citoyen de base", je ne vois absolument aucune différence. La seule différence est d'ordre morale, mais le "citoyen de base" il s'en fiche bien pas mal que les homos puissent de marier ou pas.
En revanche, le quinquennat Hollande a une importance réelle en terme d'historiographie politique. Mitterrand a amorcé le virage libéral du PS en 1983. Cette évolution a continué, doucement mais sûrement, jusqu'en 2002. Après la défaite de Jospin en 2002, le PS a compris qu'ils devaient changer de cap. Ils ont mis 10 ans, et 2 quinquennats de l'UMP, pour choisir ce nouveau cap. Ils avaient deux choix (en vérité il y en avait bien plus, mais l'inertie d'un tel parti ne permet pas l'exploration de voies réellement transversales): un retour au socialisme, ou une fuite en avant vers le libéralisme. Ce choix a été fait, d'abord en choisissant DSK, puis Hollande, puis dans l'exercice du pouvoir du PS pendant ce quinquennat. Leur fuite en avant vers le libéralisme est tel qu'aujourd'hui, le PS double LR par la droite et ne s'en cache pas. D'un point de vue historique, c'est très important je pense.le 08/04/2016 à 14:04 -
J'ai comme l'impression que c'est précisément la raison pour laquelle la protection des lanceurs d'alertes ne va pas être mise en place.le 16/06/2016 à 10:33
-
r0dExpert éminentHollande est loin d'être un crétin.
En revanche, honnête... c'est discutable. Disons que ça dépend de la définition que l'on donne à "honnête". Parce que par exemple, se faire élire sur un slogan "mon ennemi c'est la finance", et mettre Macron à l'économie, certains pourraient considérer cela comme une forme de malhonnêteté.le 08/04/2016 à 10:28 -
NSKisEn attente de confirmation mailJusqu'à ce jour, j'étais heureux de constater que les discussions sur developpez.com ne ressemblaient pas aux autres sites où dès que l'on parle de pays, on finit par s'insulter entre des franchouillards qui ne connaissent rien à la Suisse à part les banques et des Suisses un peu cons qui se complaisent à critiquer la France.
J'aimerai beaucoup que developpez.com ne verse pas dans ces travers!!!
On sait tous que tous les pays ont leur défauts, que tous défendent leurs intérêts propres et essayent de profiter des autres.
Donc:
- Oui les banques suisses sont des profiteurs, comme les banques françaises d'ailleurs...
- Oui les gouvernements suisses et français ont leurs défauts...
Et au final, les disputes de cour d'école sont sans le moindre intérêt!!!
Alors chers participants, concentrez plutôt vos interventions sur un point beaucoup plus intéressants pour tous les développeurs, quelque soit leur pays d'origine:
Comment a-t-il été possible de récupérer le 100% des archives électroniques de cette société panaméenne?
Est-il possible d'assurer une sécurité minimale pour un serveur ou faut-il définitivement faire en sorte que les réseaux internes "critiques" d'une société soient totalement isolés de toutes connexions externes?
Pour ma part, mon avis est clair: La seule porte qui ne peut pas être forcée et la porte qui n'existe pas!!!le 07/04/2016 à 14:59 -
NarannMembre actif"Un mec a pris toute la coke que je cachait dans mon appart et l'a montre aux vilains journalistes qui ont révélé au grand jour que je suis un sale dealer.
Mais heureusement, le mec en question va aller en prison. Il y a quand même une justice."
Faut il s’inquiéter de la monte des violences ou de l’établissement de ce qui les engendres?...le 16/06/2016 à 23:21 -
Paul_Le_HerosMembre avertiTraîtres pour les uns, humains pour les autres, il est des lanceurs d’alerte très discrets et efficaces : ce sont ces femmes ou ces hommes qui occupent de modestes postes ici ou là et qui décident de faire parvenir un fax à la rédaction du «_Canard Enchaîné_» quand ils sont trop choqués par les malversations d’un chef ou d’un collaborateur…
Bonne occasion pour leur rendre hommage ici.le 24/06/2016 à 16:29 -
EPITECH42Nouveau membre du ClubAgree.
Tant que l'argent restera une FIN et non un MOYEN en soi, tous ces hommes corruptibles piocheront dans la caisse après avoir prêter serment de SERVIR LA NATION SANS S'ASSERVIR.le 07/04/2016 à 15:23 -
souviron34Expert éminent séniorBen c'est surtout que figurer dans la liste ne veux pas dire avoir fait quoi que ce soit d'illégal....
C'est juste avoir utilisé les services de ce cabinet..
Eventuellement pour faire de "l'optimisation" fiscale légale, mais peut-être pas...(peut-être juste parce que quand tu es une entité mondiale, même comme GreenPeace, il peut y avoir intérêt à faire affaire avec quelqu'un dont la réputation est connue pour gérer efficacement à travers le monde)
Eventuellement ensuite pour frauder...
Disons qu'en dehors des sociétés/individus dont on va prouver que les montages financiers sont faits pour frauder, le fait de figurer dans la liste ne prouve rien en soi...le 12/04/2016 à 14:20 -
Traroth2Membre émériteDonc cet informaticien sera la seule personne à souffrir de ces révélations. Il est plus que temps de ressortir la guillotine...le 16/06/2016 à 10:19
-
souviron34Expert éminent séniorD'ailleurs, quand même, ça me pose quelques questions, ce genre de trucs, ....
Comment distingue-t-on un "lanceur d'alertes" légitime d'un gars qui viole purement l'obligation de confidentialité qu'il a signé en même temps que son contrat de travail ??
C'est une vraie question....
Car il y a quand même un certain nombre de boulots où on signe une clause de confidentialité... (sans parler des clauses de non-concurrence). Je me dis que au fur et à mesure de ces histoires, ça va aboutir à l'effet contraire : les vraies choses confidentielles vont être de plus en plus confidentielles, accessibles à un cercle de plus en plus restreint de personnes, puisque même des gens ayant signé des clauses de confidentialité s'empressent, dès qu'elles pensent que c'est dans "l'intérêt du public" ou "contraire à leurs opinions" de les violer pour rendre les choses les plus publiques possible... La signature de la clause ne vaut donc plus grand'chose...
A mon avis on va renforcer le secret sur tous les sujets....
Qu'en pensez-vous ?le 20/06/2016 à 16:47