G-Data : Panama Papers : Résultat d’une sécurité informatique négligée

Date 19/5/2016 13:30:00 | Sujet : Sécurité

Le monde financier, politique et juridique a été bouleversé par les Panama Papers. Mais comment a-t-il été possible de voler 2,6 To de données appartenant à Mossack Fonseca ?. Eddy Willems, Security Evangelist chez G DATA Software au sujet de l'affaire des Panama Papers. Au delà de la question juridico-financière, cette analyse rappelle qu'il s'agit aussi d'une immense fuite de données, consécutive à des négligences en matière de sécurité des systèmes d'information.

 


Au delà de l'affaire fiscale, politiciens, industriels et autres personnalités auraient utilisé des entreprises offshore pour réaliser de l’optimisation, Mossack Fonseca est aussi une affaire de sécurité informatique ! Même si nous n’avons encore aucune certitude sur la manière dont la fuite s’est précisément produite, c’est tout de même 2,6 To de données qui ont été volées chez Mossack Fonseca. Le cabinet-conseil juridique a déclaré que les données ont été volées à partir d’un serveur email attaqué, sans donner davantage de détails.

 



Plusieurs experts se sont penchés sur la question. Regardons quelques dérapages de sécurité constatés :

1. Mossack Fonseca utilise WordPress pour son site internet. Comme nous le savons, il est important de mettre à jour les sites internet Wordpress régulièrement à cause des failles qui ressortent très souvent. La version utilisée mi-avril a été mise à jour la dernière fois il y a cinq mois.

2. Le serveur WordPress utilisait le même serveur que la base de données contenant tous les fichiers client.

3. Le site internet de Mossack Fonseca utilise un plug-in Wordpress propice aux fuites : Revolution Slider. Le plug-in a été attaqué régulièrement depuis 2014.

4. Les détails d’identification du serveur email étaient stockés en texte dans un autre plug-in WordPress.

5. Il y avait un portail où les clients pouvaient s’identifier. Une version de Drupal propice aux fuites était utilisée à ces fins et contenait 25 vulnérabilités différentes. Drupal n’a pas été mis à jour depuis 2013.

6. Le serveur email de Mossack Fonseca n’a pas été mis à jour depuis 2009 et contenait par conséquence beaucoup de failles de sécurité.

7. Le protocole hasardeux SSL v2 était utilisé pour le portail client.

8. Le site était vulnérable aux injections SQL.

9. Les emails n’étaient pas chiffrés.

10. Différents experts émettent également l’hypothèse qu’un espionnage interne pourrait être à l’origine de la fuite.

Même s’il est difficile de savoir si une ou plusieurs de ces failles ont été utilisées dans l’attaque, il parait évident que la sécurisation des informations du cabinet de conseil était trop faible.

Mais le vol de données est un symptôme qui est présent dans tous les secteurs. D’une manière générale, la sécurité de l’information et l’informatique est bien souvent le parent pauvre des entreprises.

Les directives de protection des données de la commission européenne qui vont rendre illégales l’attitude laxiste face à la sécurité des informations, ne peut qu’être bénéfiques.

Même si l’on peut craindre qu’il n’y ait aucune action des entreprises jusqu’à ce que tombent les premières amendes.





Cet article provient de info utiles
https://www.info-utiles.fr

L'adresse de cet article est :
https://www.info-utiles.fr/modules/news/article.php?storyid=13268