Panama Papers : décryptage technique d’une fuite de données

Conseils de coach Les spécialistes de la cybersécurité s’intéressent à l’affaire Panama Papers pour des raisons purement techniques. Au-delà des questions relatives à la moralité des activités du sulfureux cabinet  fiscaliste, ces professionnels jugent cette entreprise mauvaise en cybersécurité. Des solutions informatiques existent pour se protéger d’une attaque comme celle qui a touché Mossack Fonseca, qui a négligé le chiffrement de ses communications et l’audit de son serveur de messagerie.

Businessman pressing a security concept button.

Businessman pressing a security concept button.

Appelons-le John Doe, M. Martin ou simplement « le lanceur d’alerte ». Pendant plusieurs mois, au moins de juin à décembre 2015, cet ou ces individus ont exfiltré peu à peu 2,6 terabits de données. Soit 11,5 millions de fichiers, concernant des grandes fortunes et leurs placements financiers opaques plus ou moins légaux menés par l’intermédiaire du cabinet d’avocats panaméen Mossack Fonseca, spécialiste du droit offshore. Des puissants, des partis politiques, des entreprises et des célébrités du monde entier sont cités dans ces documents au parfum de scandale et révélés par la presse internationale. Les soupçons de fraude fiscale se multiplient.

Surveiller vos réseaux

Dubitatifs, les professionnels de la cybersécurité s’interrogent devant tant de négligences de la part d’un cabinet pourtant soucieux de confidentialité. Mossack Fonseca a annoncé avoir porté plainte pour « piratage informatique ». Les théories fusent pour savoir comment un intrus a pu pénétrer à l’intérieur du réseau . Toujours est-il qu’il aurait dû s’y faire repérer. « Une attaque aussi grosse et aussi longue, cela doit se remarquer, même par un administrateur réseau de base », estime Romain Quinat, directeur marketing chez Nomios et ex-responsable de la sécurité informatique d’un grand site de e-commerce français. Il est vrai que l’attaque n’a pas fait dans la discrétion en transférant, en moyenne, 6 à 7 gigabits par jour. Même les utilisateurs disposant de comptes à privilèges, les informaticiens par exemple, ne manipulent pas couramment autant de données en une seule journée.

Analyser le comportement des utilisateurs

Au-delà de ce cas exceptionnel, des outils proposent aujourd’hui d’auditer les systèmes d’information des entreprises à la recherche de comportements anormaux comme le téléchargement de fichiers inhabituels. Ils s’adressent à toutes les entreprises qui cherchent à se protéger du vol d’informations confidentielles : les exemples de Sony Pictures ou d’AshleyMadison montrent bien que les fuites de données portent atteinte aux affaires des entreprises qui en sont victimes. Ceux qui orchestrent ces fuites ne sont pas toujours des lanceurs d’alerte. La société de conseil Gartner ne manque pas de mots pour mettre en avant les programmes d’analyse du comportement des utilisateurs. « Contrairement à ce que tout le monde croit, les entreprises ne sont pas équipées, notamment sur leurs réseaux de messagerie et de bureautique », relève Julien Chanomal, le directeur commercial de Varonis, un éditeur de logiciels spécialisés dans la détection de menaces internes. « Les logiciels d’analyse comportementale s’appuient sur des modélisations d’attaques connues, par exemple celle qui a touché Sony Pictures en 2014, et repèrent si des scénarios similaires sont en train de se jouer sur le réseau à protéger », poursuit Julien Chanomal. Si oui, une alerte est donnée.

Protéger votre messagerie autant qu’un logiciel de paie

Par rapport aux logiciels de gestion des ressources (ERP) ou aux logiciels de paie, les entreprises protègent, dans un second temps, la section messagerie de leur système d’information. D’une part, parce que les données qui s’y trouvent sont jugées moins sensibles. D’autres part, parce qu’il est très compliqué de protéger entièrement un logiciel de messagerie . « Le nombre d’e-mails échangés chaque jour dans une entreprise est colossal et certains comptes, notamment ceux des dirigeants sont gérés par plusieurs personnes, de l’assistante au secrétaire général », explique encore le professionnel. Là encore, quelques solutions informatiques existent pour tracer et mieux contrôler l’accès à ces informations (puis, par exemple, fermer l’accès à l’assistante qui change de poste) mais ils sont peu courants.

Chiffrer vos communications

Quelques jours avant la révélation de scoops rédigés par des journalistes du monde entier et inspirés des données qui lui ont été dérobées, Mossack Fonseca aurait prévenu par courrier ses clients qu’avait eu lieu une tentative réussie « d’accès non autorisé à [son] serveur de messagerie électronique grâce auquel certaines informations ont été glanées par des tierces personnes ». Un peu tard. L’erreur des avocats aura aussi été de ne pas chiffrer leurs messages . Protéger par un système de double authentification mathématique, les e-mails de Mossack Fonseca n’auraient jamais été lus par le ou les attaquants et n’auraient jamais pu leur indiquer, comme il semble que ce fut le cas, comment se connecter jusqu’aux serveurs d’archives du cabinet.
En savoir plus sur http://business.lesechos.fr/directions-numeriques/technologie/cybersecurite/021818160211-panama-papers-comment-eviter-une-telle-fuite-de-donnees-dans-votre-entreprise-209160.php?qpjMSZvcxMDvZyAD.99

Comments are closed.