Hypothèses sur le mode opératoire du hacker

La première hypothèse issue des premiers constats est celle d’une attaque venant de l’extérieur. En effet, le directeur et cofondateur du cabinet, le dénommé Ramon Fonseca parle d’un rapport technique affirmant un piratage depuis des serveurs étrangers. Selon les spécialistes, les hackers ont dû profiter du laxisme au niveau de la maintenance informatique des serveurs web. Ces derniers ne présentant pas les bases même de la sécurité informatique, l’intrusion a pu se faire en deux temps. Apres avoir découvert les failles au niveau des serveurs web, les hackers auraient procédé par mouvement latéral, ce qui les ferait atterrir directement aux serveurs internes de la firme panaméenne. A titre de rappel, cette attaque a permis aux hackers de dérober un volume colossal (2,6 To) de données.

Chiffrement TLS

Pour se faire une idée du mode opératoire des hackers, un adhérant à l’ACLU (association de défense des droits citoyens) s’est prêté à un test en ligne automatisé. Cette démarche lui a permis de découvrir que les serveurs e-mail de Mossack Fonseca sont dépourvus de nombreux mécanismes de protection basiques. Parmi ceux-ci figure le chiffrement TLS.

Logiciels obsolètes

Forbes a aussi mené sa petite enquête. Les spécialistes de ce magazine font état d’une infrastructure web impliquant un certain nombre de logiciels vulnérables, faute de mises à jour. Le système de gestion de contenu du site étant une version de WordPress déjà obsolète. Pire encore, celui du service d’accès clients, pourtant présenté comme « sécurisé », est une version de Drupal déjà expirée depuis trois ans. Présentant pas moins de 25 vulnérabilités connues, celle-ci est connectée directement à une base de données. On y a notamment trouvé le fichier portfolio, une fonctionnalité donnant accès à une interface présentant des informations patrimoniales. En outre, les experts du site UnicornRiot voient en l’infrastructure web de Mossack Fonseca un système paramétré sommairement. Celui-ci se trouve ainsi vulnérable à toute intrusion, notamment au niveau d’une partie de son code source en PHP.