Selon certains, en termes de volume d'informations volées, la fuite massive dont a été victime le cabinet d'avocats panaméen Mossack Fonseca atteint un record. Les documents divulgués comporteraient de nombreux détails sur l’usage, par des dizaines de politiciens de haut rang, leurs proches ou leurs proches collaborateurs de plus de 40 pays, dont le Royaume-Uni, la France, la Russie, la Chine et l'Inde, de sociétés offshore à des fins d’évasion fiscale, autrement dit pour cacher leurs revenus et éviter de payer des impôts. Depuis dimanche, plus d’une centaine de journaux dans le monde publient des articles basés sur ces documents. Les chiffres : 11,5 millions de documents confidentiels couvrant une période qui s’étale des années 1970 jusqu'à la fin de l’année 2015 ont été volés. Dans ces 2,6 To de données, on trouve 4,8 millions de courriels, 3 millions de pages de tableurs, 2,2 millions de fichiers PDF, 1,1 million d'images (scans de passeports par exemple), et 320 000 documents au format texte (*).
Que s’est-il passé ? Les détails sont sommaires, mais un représentant de Mossack Fonseca a confirmé les informations selon lesquelles le piratage a été mené à partir de la messagerie. On ne sait pas comment il s’est produit, mais les tests réalisés par des chercheurs en sécurité externes suggèrent que le cabinet Mossack Fonseca n'a pas activé les protocoles de sécurité TLS pour chiffrer ses e-mails. « Il y a plusieurs façons de mener une attaque sur un serveur de mail », a expliqué Zak Maples, consultant en sécurité pour le cabinet-conseil en cybersécurité MWR InfoSecurité. D’après le consultant, il semble que le serveur lui-même a été compromis, et non les boîtes mail individuelles.
Pas d'attaque en force brute
« Compte tenu du volume de données volées, les pirates n’ont pas essayé d’entrer dans les boîtes mail du cabinet d’avocats panaméen en menant des attaques par force brute », a-t-il déclaré par courriel. « Pour parvenir à compromettre autant de ressources, ils ont probablement réussi à s’introduire plus largement dans les systèmes de l’entreprise », a ajouté le consultant en sécurité. « Par exemple, ils ont peut-être réussi à entrer dans le réseau de Mossack Fonseca et à s’octroyer des privilèges élevés d’administrateur de domaine ou d’administrateur de messagerie. Ensuite, ils ont utilisé ces privilèges pour accéder et télécharger toutes les données conservées sur le serveur de messagerie ».
Qui est le pirate ? La source est inconnue. Et les journaux qui publient des articles sur les documents fuités ne connaissent probablement pas son identité. La source aurait communiqué par tchat crypté et par email. Le cabinet Mossack Fonseca nie toutes malversations. Il se défend en disant qu'il a seulement conseillé des clients pour créer des entreprises légales. Selon Mossack Fonseca, « même si notre cabinet a été victime d’un vol de données, rien ne permet de dire, dans ces documents obtenus illégalement, que nous avons fait quelque chose de mal ou d’illégal. Notre réputation mondiale construite au cours des 40 dernières années témoigne que nous faisons des affaires en respectant les règles, », a indiqué le cabinet panaméen dans un communiqué. « De toute évidence, personne n’est très heureux de subir un vol, et nous avons l'intention de faire tout ce qui est en notre pouvoir pour que les coupables soient traduits en justice ».
(*) Par la suite, pour organiser et pouvoir accéder à cette énorme base, récupérée par le quotidien allemand Süddeutsche Zeitung et partagée avec le consortium de journalistes ICIJ, une technologie open source a été mise à profit, celle de la base de données orientée graphe Neo4j, utilisée ici avec la plateforme de visualisation Linkurious. Ce type de base s’appuie sur la théorie des graphes pour stocker et représenter les structures et les interconnexions entre les données, ce qui permet de répondre à des requêtes complexes.
Plutot qu'une "legion d'honneur" pour les bons hackers, je préconise l'envoi de bombes magnetiques sur toutes les villes abritants les serveurs de ces paradis fiscaux. Elles devraient avoir pour but de "démagnétiser ou de surmagnétiser" tous les DD des serveurs. Et en démonétarissant les masses d'argents cachés dans ces paradis fiscaux, cela laisserait aux encore démocraties de faire leurs révolutions politiques internes sans trop de heurts avec leurs dirigeants politiques corrompus.
Signaler un abusIl ne faut pas oublier que le piratage a été effectué grâce aux backdoors dans les serveur des mail (le duquel tout le monde connait). Un jour on apprendra que dès qu'il y a un accès réseau il existe une possibilité de lire les données qui s'y trouvent.
Signaler un abusUn grand bravos aux hackers pour de la justice dans ce monde
Signaler un abuscontinuez vous êtes nos libérateurs nous ne sommes pas des esclaves .
soyons éclairés et une nouvelle conscience émergera
Ôh quel boulot !
Signaler un abusAlors qu'il faudrait la légion d'honneur aux lanceurs d'alerte alors qu'ils sont poursuivis par les financiers les escrocs qui eux ne risquent rien
Signaler un abusC'est l'arbre qui cache la forêt, je veux dire par là et comme la noté un intervenant plus haut...les américains sont-ils tous vertueux???
Signaler un abusOUI, FELICITATIONS AUX HACKERS !!!!! CONTINUEZ VOS EXPLOITS !
Signaler un abusAu voleur où plutôt aux voleurs!
Signaler un abusDes citoyens des Etats Unis et de l'Allemagne ne figurent semble-t-il pas sur cette liste : la France devrait d'urgence décerner une Légion d'Honneur collective à ces millions de citoyens extraordinairement vertueux et proposer que nous devenions leurs esclaves . Comment dites-vous ? Nous le sommes déjà ? ça, par exemple, ...
Signaler un abusSI GOLDMAN SACHS PEUT COULER LES GRECS, ILS S'EN SORTIRONS.
Signaler un abusAprès ce coup d'éclat, certains établissement situés au Lichtenstein, au Delaware, à Jersey, à Chypre, à Singapour, à Andorre, aux iles Cayman, etc ... vont probablement passer au crible leur sécurité. Il reste du pain sur la planche pour les services informatiques, mais aussi les hackers et les journalistes.
Signaler un abusQuand on pratique ce genre d'exercice et qu'on gagne beaucoup d'argent, il est plus prudent d'avoir une équipe solide capable de sécuriser ses serveurs !
Signaler un abusLe coût de leurs salaires n'est rien en comparaison des retombées du scandale ...
On remercie tous les hackers pour cet excellent travail!
Signaler un abus