On ne le dira jamais assez souvent – la sécurité absolue est un mythe. Toutefois, le vieux dicton « aide toi et le ciel t’aidera » est approprié, ici: Mossack Fonseca, la firme panaméenne spécialisée en gestion de sociétés écrans a été, à certains égards, l’artisane de son propre malheur dans le cas bien connu d’évasion fiscale à grande échelle. Comment les 11,5 millions de documents ont-ils été obtenus? Chose certaine, le cabinet d’avocats porte maintenant plainte pour piratage.
En effet, Forbes a répertorié qu’il y avait plusieurs vulnérabilités présentes dans au moins deux systèmes de gestion de contenu installés sur le serveur web de la compagnie maintenant impliquée dans le scandale des « Panama Papers », une histoire journalistique qui fait paraître la fuite de Watergate comme un vulgaire ragot de journal à potins:
FORBES discovered the firm ran a three-month old version of WordPress for its main site, known to contain some vulnerabilities, but more worrisome was that, according to Internet records, its portal used by customers to access sensitive data was most likely run on a three-year-old version of Drupal, 7.23. That platform has at least 25 known vulnerabilities at the time of writing, two of which could have been used by a hacker to upload their own code to the server and start hoovering up data.
Aussi, le site wptavern.com souligne le fait que la version de Drupal – un content management system similaire à WordPress – n’a pas été mise à niveau depuis près de trois ans:
The Mossack Fonseca client portal changelog.txt file is public, showing that its Drupal installation hasn’t been updated for three years. Since the release of version 7.23, the software has received 25 security updates, which means that the version it is running includes highly critical known vulnerabilities that could have given the hacker access to the server.
De plus, l’accès aux courriels (non-chiffrés) de la firme se fait via une version ancestrale de Outlook Web Access:
Panama Papers law firm Mossack Fonseca doesn’t use STARTTLS to encrypt emails. Safe to assume most big govs have been reading their emails.
— Christopher Soghoian (@csoghoian) 5 avril 2016
Cette fuite aurait-elle pu être prévenue si les mises à niveau de base et un maintien régulier de l’infrastructure web de la firme avaient été respectées assidument? Dur à dire. La tâche d’extraction aurait surement été plus ardue. La leçon qui doit être tirée de cette histoire, par contre, c’est que la sécurité est un processus et non un produit, voir même un état d’esprit. Le respect d’une veille technologique digne de ce nom est nécessaire, que ça soit pour un cabinet gérant des centaines de milliards de dollars en fiducie douteuse ou une PME locale.