Les hackers qui se sont introduits dans les serveurs de Mossack Fonseca ont-ils visé d’autres sociétés ? Des experts en cybersécurité le redoutent.
Si l’auteur de la fuite des documents ayant donné lieu au scandale des Panama Papers qui secoue la planète « finance » depuis lundi n’est pas encore connu… le cabinet Mossack Fonseca a indiqué que celle-ci ne provenait pas d’un salarié (ni d’un ancien employé de la firme), mais d’un piratage informatique de ses serveurs. Son cofondateur, Ramon Fonseca a confié à l’agence Reuters, le 6 avril, avoir porté plainte à la suite d’une intrusion de ses systèmes d’information… reconnaissant ainsi l’authenticité des documents publiés ! Il s’est dit surpris que « personne ne dise que le premier scandale dans cette affaire, c’est le fait que des gens se sont introduits par effraction dans nos disques durs ».
Le cabinet d’avocats, spécialisé dans la domiciliation de particuliers et d’entreprises dans des paradis fiscaux, a d’ailleurs porté plainte contre X. « Une enquête est en cours », assurent les autorités panaméennes. « Dans cette affaire, c’est un peu comme si tout le monde avait abdiqué sur le terrain de la vie privée et du secret professionnel », a poursuivi Ramon Fonseca.
Les e-mails… portes d’entrée pour les pirates
Selon plusieurs experts en sécurité numérique, c’est par la boîte e-mail de l’entreprise que le ou les pirates informatiques se seraient introduits dans les réseaux du cabinet d’avocats panaméen avant de siphonner ses serveurs et d’en extraire près de 4,8 millions de messages révélant les turpitudes d’une poignée de dirigeants politiques, patrons de grands groupes, sportifs et grandes fortunes à travers le monde. Mais une « complicité » intérieure aurait été nécessaire pour extraire, dans le même temps, quelque 3 millions de documents complémentaires stockés sur ses serveurs.
« L’e-mail est la principale porte d’entrée des hackers. Dans la majorité des cas, c’est par un message infecté que les systèmes d’information des entreprises sont visités », relève Tanguy de Coatpont, directeur général de Kaspersky Lab France, filiale hexagonale du géant russe, éditeur d’antivirus. Pendant longtemps, les utilisateurs de Mac ont cru que leurs systèmes d’exploitation étaient à l’abri de tout virus informatique. C’est faux. Depuis cinq ans, les sociétés spécialisées en cybersécurité voient ainsi se multiplier les programmes malveillants, conçus spécifiquement pour exploiter les failles du système d’exploitation de la marque à la pomme. « Et comme Apple ne souhaite pas confier les codes sources de ses programmes à des tiers, il est difficile pour nous de développer des antivirus dédiés », confie Tanguy de Coatpont.
De nombreux cabinets d’avocats ciblés
Parmi les utilisateurs ciblés ces derniers mois par des attaques figurent un grand nombre d’avocats qui semblent ne pas avoir pris la mesure du danger. Le cabinet de conseil Flashpoint confiait ainsi au Wall Street Journal, la semaine dernière, que de très nombreuses firmes juridiques d’envergure internationale n’étaient pas suffisamment protégées sur le front numérique.
Le cabinet new-yorkais Cravath Swaine & Moore LLP en a fait les frais l’été dernier. Cette entreprise bicentenaire, qui fait travailler plus de 450 juristes et réalise chaque année près de 700 millions de dollars de chiffre d’affaires, a en effet été « cambriolée » virtuellement par un pirate informatique. « Un incident sans gravité », a évacué le porte-parole de la firme, spécialisée en droit des affaires (et plus spécialement en fusions-acquisitions). Le FBI enquêterait néanmoins sur les intrusions subies par les ordinateurs de ce cabinet. Plus récemment, un autre cabinet « géant » comme seuls les États-Unis savent en produire (Weil Gotshal & Manges LLP, 1,2 milliard de dollars de chiffre d’affaires) en a fait l’expérience. Plusieurs ordinateurs de certains de ses 1 200 salariés ont ainsi été piratés.
En Europe, le géant britannique CMS (3 000 experts répartis dans 60 villes de par le monde), une référence en droit fiscal, a lui aussi subi les assauts de hackers. « Nous avons intercepté des e-mails frauduleux qui proposaient de corrompre certains de nos employés en échange d’informations confidentielles », a déclaré à la BBC, Stephen Tester, associé chez CMS.
Les raisons de ces défaillances ?
Des dizaines de cabinets d’avocats de taille bien plus modestes auraient également été ciblés par des hackers en 2015 et début 2016, selon Flashpoint. « La plupart des très petites entreprises (TPE) manipulant des données confidentielles n’ont pas encore intégré les risques que représente une défaillance de leurs systèmes de protection », note Jérôme Robert, directeur de la stratégie chez Lexsi, un cabinet de conseil spécialisé en cybersécurité. Cela tiendrait à plusieurs facteurs. « Un problème de taille d’abord : ces TPE n’ont pas toujours les moyens d’avoir une personne spécifiquement dédiée à la surveillance de leurs réseaux informatiques. Un problème managérial, ensuite : ces sociétés sont souvent dirigées par des personnes qui appartiennent à une génération n’ayant pas grandi avec Internet », analyse Jérôme Robert. Un dernier aspect, plus psychologique, enfin tient à l’ego de certains de ces professionnels qui, du fait de leur médiatisation, ont parfois un sentiment d’invulnérabilité.
Reste que la majorité des fuites observées ces dernières années résultent d’employés (ou d’ex-salariés). « Le danger vient la plupart du temps de l’intérieur: c’est à dire des collaborateurs ou de sous-traitants de l’entreprise », indique Sébastien Faivre, directeur général de Brainwave, un éditeur de logiciels. « Cela résulte principalement de maladresses: le téléchargement d’un fichier infecté éventuellement d’un ransomware, le virus à la mode en ce moment. Cela peut aussi provenir de comportements malveillants d’individus désireux de régler des comptes avec leur hiérarchie en laissant fuiter des informations confidentielles », poursuit Jean-Yves Pronier, directeur marketing de cette entreprise fondée en 2010.
Comment s’en prémunir
Pour se prémunir contre de tels agissements, les entreprises sont invitées à chiffrer leurs dossiers les plus sensibles. « La cryptographie a mauvaise réputation, car on sait qu’elle sert à couvrir les échanges par e-mail des terroristes. Mais elle n’en constitue pas moins un moyen de sécuriser efficacement les données des entreprises et des administrations », argue Serge Binet, PDG de la société Prim’X à qui tous les ministères français ont confié le chiffrement de leurs serveurs fin 2015.
La plupart des sociétés manipulant des « datas sensibles » recourent également à des outils de gestion d’accès. « L’objet de nos programmes est de veiller à ce que les personnes qui se connectent à certains dossiers soient bien habilitées à le faire du fait de leurs responsabilités et qu’ils le font dans un cadre professionnel », exprime Jean-Yves Pronier, de Brainwave. Lequel ajoute que l’enjeu actuel consiste à sensibiliser les salariés aux risques qu’ils prennent en recourant à leurs tablettes ou leurs téléphones portables lorsqu’ils manipulent des dossiers professionnels. « Ce sont ces interfaces mobiles qui présentent aujourd’hui le plus de risque », souffle-t-il.
Par Baudouin Eschapasse – Le Point
