Panama Papers : l’œuvre d’un pirate externe ?

Ramon Fonseca, l’un des fondateurs de Mossack Fonseca, vient d’indiquer à Reuters que son cabinet a déposé plusieurs « plaintes pertinentes » à la fuite massive d’informations dont il a été victime. Et ces plaintes devraient, en toute logique, pointer dans la direction d’un piratage informatique. A nos confrères, Ramon Fonseca assure qu’il ne s’agit pas d’une malveillance interne : « ceci n’est pas une fuite, ceci est un piratage. Nous avons une théorie et nous la suivons ».

Précédemment, le cabinet avait déjà indiqué à ses clients avoir été victime d’une « brèche non autorisée de notre serveur d’e-mail ». Bien sûr, réfuter publiquement la malveillance interne peut n’avoir pour but que de rassurer les clients de Mossack Fonseca. Mais dans un billet de blog, Paul Ducklin, de Sophos, souligne la portée potentielle d’une intrusion sur un serveur de messagerie : « le mot de passe d’un seul utilisateur ;  ce peut être suffisant pour commencer. […] les messages envoyés depuis un compte interne ont la légitimité apparente de venir de l’intérieur ». De quoi permettre aux intrus de formuler des demandes crédibles au service informatique, comme une réinitialisation de mot de passe. Sans compter la fouille dans les pièces jointes.

Mais la capacité de Mossack Fonseca à assurer la sécurité des données de ses clients est d’autant plus sujette à caution qu’Olivier Laurelli, connu aussi sous le pseudonyme de Bluetouff, a relevé plusieurs défauts de configuration sur le site Web du cabinet qui le conduisent à en révéler bien trop sur ses composants logiciels.

Et pour John McAfee, la brèche de sécurité dont a été victime Mossack Fonseca est particulièrement alarmante, quelle qu’en soit l’origine. Dans une tribune dans Business Insider, il souligne qu’il s’agit du quatrième cabinet de « protection d’actifs » au monde : « ses mesures de cybersécurité étaient de toute évidence insuffisantes », affirme-t-il. Et d’ajouter qu’il n’est pas seul dans ce cas : « des études montrent que les cabinets d’avocats sont des cibles faciles pour les pirates ».

Norman Girard, vice-président EMEA de Varonis, partage cet avis. Dans une déclaration à la presse, il estime que l’étude de la brèche sera l’occasion de « relever à n’en pas douter une absence de protection des fichiers et des e-mails […] Dans son rapport issu des évaluations de risques effectuées auprès de clients potentiels, Varonis a trouvé qu’une entreprise moyenne compte 28 % de dossiers partagés qui ne sont pas verrouillés et son visibles de l’ensemble des salariés ».

En août dernier, dans un billet de blog, l’éditeur renvoyait d’ailleurs à une étude de l’association du barreau américain, l’ABA : « un alarmant 70 % des cabinets d’avocats ne savent pas que leur firme a été victime d’une brèche ».

John McAfee relève de son côté que les cabinets américains d’avocats comptent en moyenne 100 avocats chacun : « les budgets de cybersécurité de n’importe quelle entreprise employant 100 personnes sont minimaux, à compter qu’ils existent ».

Dès lors, pour lui, la brèche de Mossack Fonseca soulève avant tout une question : « où pensez-vous que les pirates se tournent ensuite ? »