Roi de l’évasion fiscale… et bonnet d’âne de la cybersécurité. Rendu célèbre par les Panama Papers, le cabinet d’avocats Mossack Fonseca a multiplié les erreurs grossières sur ses infrastructures IT. De quoi rendre crédible la thèse d’un piratage massif de ses données ?
Après avoir accédé en quelques heures à une popularité mondiale, via les révélations des Panama Papers, le cabinet d’avocats panaméen Mossack Fonseca a eu droit à un audit de sécurité à l’échelle planétaire. Nombreux sont les chercheurs en cybersécurité à s’être rués sur les infrastructures de Mossack Fonseca pour les décortiquer et en identifier les potentielles failles de sécurité. Le moins que l’on puisse dire, c’est que le cabinet spécialisé dans les montages d’évasion fiscale l’est beaucoup moins en matière de cybersécurité. Et à un degré qui, dans certains cas, ne cesse pas de surprendre.
Si la firme panaméenne affirme que la gigantesque fuite de données (2,6 To de données, 11 millions de documents entre 1977 et 2015, portant sur 214 488 structures offshore) à l’origine des révélations de la presse résulte d’un piratage informatique, visant à « saper sa compétitivité », la somme incroyable des lacunes sécuritaires dévoilées au fil des jours s’apparente à de la négligence. Revue de détails :
1) Les lacunes du serveur d’e-mails
image: http://www.silicon.fr/wp-content/uploads/2016/04/mail-mossack.jpg Dans une lettre envoyée à ses clients le 1er avril – défense de rire -, Mossack Fonseca admet avoir lancé une enquête sur le piratage d’un serveur de mails. Chez nos confrères de Reuters, Ramon Fonseca, un des deux co-fondateurs, assure que cette attaque a eu une portée « limitée ». Utilisant un outil librement disponible (CheckTLS), le chercheur en sécurité Christopher Soghoian, également expert de l’ACLU (American Civil Liberties Union, une association de défense des libertés publiques), assure que les serveurs d’e-mails de la firme d’avocats n’emploient pas le chiffrement TLS, tableau à l’appui (voir ci-dessus). De quoi faciliter l’interception des communications. Et Christopher Soghoian de s’amuser à interpeller les cabinets d’avocats dans un tweet : « Si vous ne voulez pas ressembler à Mossack Fonseca, demandez notamment à votre département IT de chiffrer vos e-mails. » Ajoutons à ce tableau déjà peu reluisant que le webmail de Mossack Fonseca repose sur une version d’Outlook Web Access datant de… 2009.
2) Des CMS troués
Dès mardi dernier, un article de Forbes pointait le fait que le site principal de Mossack Fonseca utilisait une version vieille de trois mois de WordPress, mouture connue pour renfermer des vulnérabilités. Juste un hors d’œuvre, car le magazine américain relève surtout que le portail clients du cabinet, utilisé par ces derniers pour accéder à des informations confidentielles, tourne sur une version de Drupal, vieille de trois ans. Or, cette mouture étiquetée 7.23 renferme 25 failles connues à ce jour, dont probablement la plus grave jamais découverte dans Drupal (cet épisode, datant d’octobre 2014, est connu par la communauté travaillant sur le CMS comme le ‘Drupalgeddon’). Une autoroute permettant à des pirates dotés de bonnes connaissances techniques de piocher dans les données sous-jacentes du portail. Par ailleurs, Wired UKrelève que le même portail est vulnérable à l’attaque Drown, qui touche les serveurs supportant le protocole obsolète SSL v2. image: http://www.silicon.fr/wp-content/uploads/2016/04/changelog-mossack.jpg Drupal 7.23, une version vieille de trois ans.
3) Un serveur HTTP mal configuré
Mais, il y a pire. Si on en croit une enquête poussée de Unicorn Riot, un collectif de journalistes, le portail en question souffre aussi de graves lacunes de configuration, qui aboutissent à exposer sa structure et son code source aux navigateurs standards. Selon les conclusions de Unicorn Riot, qui se fonde sur les données librement accessibles sur ce portail – sans authentification -, Mossack Fonseca emploie pour ce service un serveur HTTP et une base de données Oracle. Le premier est un fork d’Apache 2.2. « Il est si mal configuré qu’il publie pour tous les visiteurs une bonne partie du code du portail sous la forme de texte brut », écrit Unicorn Riot. Bref, le portail souffre non pas d’une grave vulnérabilité – celle de Drupal -, mais bien de plusieurs. Et cette erreur de configuration peut, selon cette même analyse, permettre à un assaillant d’installer et de faire tourner un code PHP malicieux sur le serveur.
Plus cocasse encore : parmi ces données librement accessibles, Reflets.info a d’ailleurs déniché les fichiers de sauvegarde d’une application interne et d’un jeu de données associé. Les fichiers de configuration donnant eux accès au login et mot de passe, affichés en clair ! Les deux étant d’ailleurs identiques…
4) Une base Oracle qui interpelle
Parmi les informations librement accessibles sur le portail via une simple URL, figurent les modules qui viennent se greffer à Drupal. Parmi eux, un add-on autorisant l’emploi du CMS au-dessus d’une base de données Oracle. Plus mis à jour depuis 2013, ce module trahit l’emploi d’une architecture peu banale : rares sont en effet les sites Web à reposer sur une base Oracle, réputée très onéreuse. Unicorn Riot y voit un indice de la façon dont les documents pourraient avoir fuités. « En général, mettre en œuvre des technologies coûteuses comme une base et un serveur HTTP Oracle pour faire tourner un site isolé n’a pas de sens économique », relève l’analyse de Unicorn Riot, suggérant que la base de données pourrait être le support d’autres applications de Mossack Fonseca, donc renfermer de grands volumes de données.
L’association d’un Drupal vintage et d’une base de données probablement centrale dans l’infrastructure IT du cabinet s’avère explosif. Unicorn Riot décrit ainsi une attaque par piratage de session, permettant à un hacker d’apparaître comme un utilisateur légitime. L’utilisation de cette technique associée à un compte administrateur ouvrirait un passage vers l’ensemble des données de la base Oracle.
5) Le script Google Analytics qui tue
Quand on a un site Web, on aime savoir combien de visiteurs y accèdent. Si possible gratuitement, via un service comme Google Analytics. Sauf, serait-on tenté d’ajouter, quand on préfère la discrétion. Repéré par Reflets.info, la présence d’un script Google Analytics sur le portail client de Mossack Fonseca relève presque du gag. Ou du cadeau au fisc américain. La présence de ce script permet en effet à Google de stocker les adresses IP des personnes se connectant au portail, une base de données que l’administration américaine pourrait être tentée de se procurer… image: http://www.silicon.fr/wp-content/uploads/2016/04/mossack-leak.png
Hack ou insider job ? En l’état, cette collection d’erreurs ne suffit pas à valider la thèse du piratage, une thèse que défend mordicus le cabinet d’avocats. Ramon Fonseca, un de ses co-fondateurs, a ainsi affirmé à la BBC que le scandale des Panama Papers ne résultait pas d’une fuite interne, mais d’un piratage orchestré depuis des serveurs situés hors du Panama. Si tel est le cas, le ou les assaillants ont manifestement pris leur temps (exfiltrer 2,6 To de données – 10 fois plus que la fuite de Sony Pictures – sans se faire repérer demande de la patience) et ont probablement infiltré plusieurs systèmes sur de longues durées, les documents transmis par la source anonyme du quotidien allemand Süddeutsche Zeitung étant de nature diverse (voir le graphique ci-dessus). Un profil qui pourrait, notamment, correspondre à celui d’un service de renseignement d’un état décidé à porter un coup décisif à la fraude fiscale. Ou à celui d’un ou plusieurs activistes, exploitant patiemment les grossières erreurs de sécurité de Mossack Fonseca.
Le terme anglais "offshore" signifie "au large des côtes", autrement dit "extraterritorial".
Littéralement, une société offshore est donc une société enregistrée à l'étranger, dans un pays où le propriétaire n'est pas résident. Mais à la différence des filiales internationales d'entreprises, ces sociétés n'exercent aucune activité économique dans le pays où elles sont domiciliées.
Est-ce illégal ?
"Il n'est pas forcément interdit d'avoir une société offshore ou un compte à l'étranger. L'important c'est de savoir quelle est l'activité réelle qu'il y a derrière ces comptes, quelle est l'origine des flux financiers", a déclaré lundi le secrétaire d'Etat français au Budget Christian Eckert.
L'objectif est "de faire en sorte que les bénéfices se déclarent dans le territoire où il y a peu ou pas d'impôt", ce qui permet aux entreprises d'augmenter leur rentabilité, explique-t-il.
De fait, ces sociétés sont en général créées dans des Etats où la fiscalité est particulièrement avantageuse, dans ce que l'on appelle les "paradis fiscaux", tels que les Bahamas, les Iles vierges britanniques, le Panama, mais aussi l'Etat du Delaware aux Etats-Unis.
"Cela peut être aussi pour faciliter certaines transactions qui ne sont pas forcément illégales", mais qui nécessitent une certaine discrétion, garantie dans ces paradis fiscaux, indique encore M. Vernier.
Au final, impossible de savoir à qui appartiennent véritablement ces sociétés.
Et cette opacité est idéale pour faire du blanchiment d'argent issu d'activités criminelles, telles que le trafic de drogue ou le grand banditisme, qui se compte en "milliers de milliards de dollars par an".
Il pouvait y avoir bien d'autres motivations que la fiscalité à la création d'une société offshore : ce peut être aussi un moyen de gérer des situations familiales complexes....
Le Monde, en partenariat avec 108 médias étrangers et le Consortium international des journalistes d'investigation (ICIJ) a eu accès à une très grande masse d'informations inédites : 11 millions de fichiers provenant des archives du cabinet panaméen Mossack Fonseca, spécialiste de la domiciliation de sociétés offshore. Les données, qui constituent le plus gros "leak" de l'histoire, s'étalent de 1977 à 2015. Elles révèlent que des chefs d'Etat, des milliardaires, des grands patrons, des figures du sport, de la culture, de l'économie recourent, avec l'aide de certaines banques, à des montages de sociétés afin de dissimuler leurs avoirs.
Le Panama, au coeur des révélations du scandale des "Panama papers", a annoncé mardi qu'il envisageait des représailles économiques contre la France qui va réinscrire le pays d'Amérique centrale sur sa liste des paradis fiscaux.
La banque française Société Générale fait partie des cinq banques qui ont créé le plus grand nombre de sociétés offshore par l'intermédiaire du cabinet d'avocats panaméen Mossack Fonseca, a détaillé mardi le quotidien Le Monde, après analyse des données "Panama Papers". "Au total, elle compte à son actif 979 sociétés, derrière la britannique HSBC (2.300 sociétés), les suisses UBS (1.100 sociétés) et Credit Suisse (1.105 sociétés)", selon le journal, qui précise que "deux-tiers de ces entités offshore ont été créées par SG Bank and Trust Luxembourg".
Pourquoi il n'y pas d'américains et de sujets de la reine dans les "panama papers"?
Il suffit de se renseigner deux minutes sur l'ICIJ et le "center for public integrity" et leurs principaux soutiens financiers. On rigole d'avance aux futurs conférences estivales pour la lutte contre la corruption parrainées par Cameron et Obama, les valets officiels des méga-banques et des archipels qui organisent le blanchiment et l'évasion fiscale à l'échelle globale.
Cette ADS, ou
licence, est indispensable pour exercer la profession de taxi et bénéficier de
ses avantages comme se garer sur les emplacements réservés devant les aéroports
et les gares ou encore emprunter les couloirs de bus. Les chauffeurs peuvent
l'obtenir gratuitement par la mairie ou la préfecture de police à Paris, en
attendant parfois longtemps, ou en rachetant celle d'un chauffeur qui quitte le
métier. D'après le site La Compagnie du taxi, le cours de la licence est, en
moyenne, de 150 000 euros.
En rhétorique, un oxymore ou oxymoron, du grec ὀξύμωρος est une figure de style qui vise à rapprocher deux termes que leurs sens devraient éloigner, dans une formule en apparence contradictoire, comme « une obscure clarté ».
---
Pierre Erol GIRAUDY
Décidément, elle ne lâche pas l'affaire... Elle « en a », la 1ère Ministre.
Cette femme devrait être nommée prix Nobel du courage.
Jamais des mots n'ont été aussi justement prononcés... Elle n'a pas eu peur de prendre clairement position, sans doute au risque de sa vie. Les musulmans qui veulent vivre sous la charia islamique ont été priés de quitter l'Australie. Le gouvernement a ciblé les radicaux dans le but de parer les attaques terroristes potentielles. Par ailleurs, Mme Gillard a irrité certains musulmans australiens en déclarant mercredi qu'elle soutenait les agences d'espionnage qui surveillent les mosquées présentes sur le sol de la nation.
Citation :
LES IMMIGRANTS, DOIVENT S'ADAPTER. C'est à prendre ou à laisser.
Je suis fatiguée que cette nation s'inquiète de savoir si nous offensons certains individus ou leur culture... Notre Culture, s'est développée depuis plus de deux siècles après tant de luttes, d'épreuves et de victoires par des millions d'hommes et de femmes qui ont recherché la liberté. Nous parlons l'anglais et non pas l'espagnol, ou le libanais, l'arabe, le chinois, le japonais, le russe ou autre langage.
Donc, si vous ne voulez faire partie de notre société, APPRENEZ NOTRE LANGUE !!! La plupart des australiens croient en Dieu.
Il n'est pas question ici de « droit chrétien » ou d’une quelconque pression politique, c'est un FAIT parce que les chrétiens hommes et femmes, avec leurs principes Chrétiens ont fondé cette nation. Il est parfaitement approprié de les afficher sur les murs de nos écoles ! Dieu vous offense ?
Je vous suggère alors d'envisager une autre partie du monde pour y vivre car Dieu fait partie de notre culture.
Nous acceptons vos croyances sans vous poser de questions.
Tout ce que nous vous demandons, c'est de respecter les nôtres, de vivre pacifiquement et en harmonie avec nous.
Ceci est NOTRE PAYS, NOTRE TERRE, et NOTRE STYLE DE VIE et nous vous donnons l'occasion d'en profiter.
Mais à partir du moment où vous vous mettez à vous plaindre, à gémir et à ronchonner à propos de notre drapeau, notre engagement, nos croyances chrétiennes ou notre style de vie, je vous encourage fortement à profiter d'une autre grande liberté Australienne « LE DROIT DE PARTIR » !
Si vous n'êtes pas heureux ici et bien partez !
Nous ne vous avons pas forcés à venir !
Vous êtes venus de vous-même, alors acceptez le pays qui vous a acceptés, tel qu'il est ! °!°
Didier Prospero, un agent de sécurité du groupe G4S, a été retrouvé mort, abattu de plusieurs balles, jeudi soir, dans la salle de bain de son habitation de Froidchapelle.
C’est un meurtre passé complètement sous silence qui a été commis jeudi soir dans l’arrondissement judiciaire de Charleroi. Un agent de sécurité, accompagné de son chien, a été abattu en début de soirée. Son badge lui a été volé. De quoi inquiéter sérieusement les enquêteurs. Le précieux sésame donnant accès à des sites particulièrement sensibles puisque la victime est agent de sécurité dans le… nucléaire !
---
Sarkozy signe l’armistice entre Ciotti et Estrosi
Le patron des Républicains a réuni les deux hommes mardi. Seul le maire de Nice sera candidat à la présidence de la fédération LR des Alpes-Maritimes. Récit
Dans l’entourage de Nicolas Sarkozy, on n’a pas peur de qualifier l’accord d’« historique ». Mardi après-midi, le patron des Républicains a réuni dans son bureau Christian Estrosi et Eric Ciotti afin de mettre un terme à la guerre ouverte
ADDIO PROFESSORE
Si è spento all’età di 84 anni, Umberto Eco, uno dei più importanti intellettuali italiani del novecento. E’ stato scrittore, filosofo, esperto... di comunicazione e mass media. Celebri i suoi romanzi: "Il nome della Rosa", "Il pendolo di Foucault", “L'isola del giorno prima”, “Baudolino “, “La misteriosa fiamma della regina Loana” e “Il cimitero di Praga”. L’ultimo, “Numero Zero”, incentrato sul mondo dei giornalisti e dell'editoria.
Dans une lettre envoyée à ses clients le 1er avril – défense de rire -, Mossack Fonseca admet avoir lancé une enquête sur le piratage d’un serveur de mails. Chez nos confrères de Reuters, Ramon Fonseca, un des deux co-fondateurs, assure que cette attaque a eu une portée « limitée ». Utilisant un outil librement disponible (CheckTLS), le chercheur en sécurité Christopher Soghoian, également expert de l’ACLU (American Civil Liberties Union, une association de défense des libertés publiques), assure que les serveurs d’e-mails de la firme d’avocats n’emploient pas le chiffrement TLS, tableau à l’appui (voir ci-dessus). De quoi faciliter l’interception des communications. Et Christopher Soghoian de s’amuser à interpeller les cabinets d’avocats dans un tweet : « Si vous ne voulez pas ressembler à Mossack Fonseca, demandez notamment à votre département IT de chiffrer vos e-mails. » Ajoutons à ce tableau déjà peu reluisant que le webmail de Mossack Fonseca repose sur une version d’Outlook Web Access datant de… 2009.
Dans une lettre envoyée à ses clients le 1er avril – défense de rire -, Mossack Fonseca admet avoir lancé une enquête sur le piratage d’un serveur de mails. Chez nos confrères de Reuters, Ramon Fonseca, un des deux co-fondateurs, assure que cette attaque a eu une portée « limitée ». Utilisant un outil librement disponible (CheckTLS), le chercheur en sécurité Christopher Soghoian, également expert de l’ACLU (American Civil Liberties Union, une association de défense des libertés publiques), assure que les serveurs d’e-mails de la firme d’avocats n’emploient pas le chiffrement TLS, tableau à l’appui (voir ci-dessus). De quoi faciliter l’interception des communications. Et Christopher Soghoian de s’amuser à interpeller les cabinets d’avocats dans un tweet : « Si vous ne voulez pas ressembler à Mossack Fonseca, demandez notamment à votre département IT de chiffrer vos e-mails. » Ajoutons à ce tableau déjà peu reluisant que le webmail de Mossack Fonseca repose sur une version d’Outlook Web Access datant de… 2009.
