Une version WordPress non mise à jour

Pour son site internet, Mossack Fonseca utilise WordPress. Or, la dernière mise à jour de la version utilisée mi-avril remonte à fin 2015. Cette négligence explique les failles au niveau du serveur. De plus, celui-ci servait pour stocker la base de données contenant tous les fichiers client. Les experts notent aussi l’utilisation de RevolutionSlider, un plug-in WordPress très vulnérable qui a déjà fait l’objet d’une série d’attaques depuis 2014.

D’autres composants vulnérables

D’autres composants permettent d’expliquer la vulnérabilité du système de sécurité informatique de Mossack Fonseca. Parmi eux figure une version de Drupal sur lequel ont été détectées quelque 25 vulnérabilités différentes. À noter que Drupal n’a fait l’objet d’aucune mise à jour depuis 2013. Le protocole SSL v2 est aussi cité dans la liste des composants vulnérables. Il a pourtant été utilisé pour le portail client. Enfin, d’autres spécialistes affirment également que le site de ce cabinet d’avocats est vulnérable aux injections SQL.

Un serveur email hasardeux

Son serveur email constitue aussi l’un des points faibles du système de sécurité informatique de Mossack Fonseca. Les détails d’identification de ce serveur email ont effectivement été stockés en texte, via un autre plug-in WordPress. De plus, la dernière mise à jour de ce serveur date de 2009. Enfin, et non des moindres, on note aussi l’hypothèse d’autres expertsévoquantun espionnage interne.