#PanamaPapers : how shit happens

Twitter Facebook Google Plus email

24 thoughts on “#PanamaPapers : how shit happens”

  1. « i2’s Intelligence-Led Operations Platform empowers government agencies and private sector businesses, to investigate, predict, prevent and disrupt the world’s most sophisticated criminal and terrorist threats. »

    AHHAHAHHAHAHAHHAHA

    « We are running certified online anti-money laundering seminars during 2010. Designed to assist organisations in terms of understanding AML controls and also offer guidance on setting up compliant and cost effective systems to enhance their AML compliance. »

    re-AHAHAHAHHAHAHAHAHAHHAH

    Crise de rigolade, fait.

    Par contre, evolusoft ne me dit rien et il ne me semble pas que reflets en ait parlé. Aurais-je loupé quelque chose?

  2. bonjour,
    Pour les non initiés aux arcanes des sites web, de leur securisation et aux sous-entendus malicieux, pouvez vous nous faire rire aussi en expliquant un peu plus clairement en quoi cette merveilleuse société panaméenne dont j’ai toujours révé d’être un client privilégié pour planquer mes 38 carambars a un site web de merde et par qui il peut être infiltré (google analytics donc la NSA?).
    merci d’avance.
    P.S. Si vraiment ils ont des sites aussi troués qu’un emmental , je suppose que les administrations fiscales auraient pu être au courant , si elles avaient voulu le faire, des clients qui placent leurs argent via cette société…

    1. ben comme il le dit dans l’article, les softs utilisés ne sont pas mis à jour depuis des années (donc des années sans failles publiques patchées), et avec une implémentation relativement scabreuse.
      tout ça permet à un éventuel attaquant d’accéder facilement, via une faille de sécu, aux données stockées derrière le site.
      en gros le lanceur d’alerte pourrait très bien être une source externe à la société en question, qui a accédé à toutes ces données en passant par une bonne grosse faille de sécu publiée depuis des années.

      quant au Google Analytics, Google doit stocker, via ce script, les IP de tous les mecs qui se connectent au site, donc ça serait une bonne source potentielle pour le FISC US, qui aurait assez facilement accès à ces données.

      quand tu as un site auquel tes clients fraudeurs (et désireux de conserver leur anonymat à l’évidence) accèdent, il est pas très malin d’y coller un script Google Analytics, quoi. ^^

      1. Ils n’ont apparemment rien à foutre de la sécurité de leur site vitrine, certes, mais de là à extrapoler et dire que le leak vient de là, il faut pas pousser.

        Personne n’a vu les données, mais ça ne ressemble pas à quelque chose qu’on trouverait sur un wordpress ou un drupal perdu.

        1. Je pense que tu as mal interprété mes propos, d’autant que le leak viendrait d’un serveur mail (seulement en partie car sinon faut m’expliquer comment des documents des années 70 sont arrivés sur un serveur mail).
          Donc je reformule la question, tu connais beaucoup de gens qui utilisent du Oracle pour un pauvre front wordpress ? Tu n’as pas l’impression que la db est partagée avec d’autres app ?
          … En outre je n’ai pas dit que le hack venait de là, ça j’en sais rien, ce que je sais c’est que leur infra, c’est disneyland.

          1. Je répondais surtout au commentaire de hellmut en fait !

            Il est *possible* que la DB oracle soit partagée, mais à ma connaissance aucun élément (mis à part la décision discutable d’utiliser Oracle pour un site web) ne valide cette théorie. Et quand bien même la DB serait partagée, rien ne dit que les autres applis qui l’utilisent ont de l’importance.

            La décision de prendre Oracle peut être expliquée par pleins d’autres raisons : le recyclage d’un stack qu’ils avaient sous la main, la compatibilité avec un de leur outils (leur extranet en java dont tu parles dans l’article peut-être ?), le choix d’un décideur d’utiliser Oracle (c’est assez populaire dans les milieux corporate)…

            Je suis d’accord avec toi que c’est un choix étrange et a priori inadapté, mais c’est dur de juger sans avoir plus de contexte.

        2. je dis pas que le leak vient de là.
          on voit juste que c’est un joli foutoir en partant uniquement du site, qu’il y a un Oracle derrière (ce qui est assez hallucinant), bref que les gars sont pas ultra à cheval sur la sécu (et c’est un euphémisme).
          c’est effectivement peut-être une coïncidence, rien ne dit que ça vient de là, mais à priori les données viendraient (conditionnel) d’un hack…

          bref on n’en sait rien, mais on sait qu’ils ont des trous partout. ^^

    2. sans etre un expert, ce que reproche bluetouff c est d avoir des vieilles versions (2013 for drupal !) et apache (2.2.31 ou 2.4 sur le site apache). donc vous faites tourner des soft avec des bugs connus
      autre probleme, vous avez des partie qui ne devraient pas etre accessible qui le sont (ex wp-include)
      La blague sur oracle je n ai pas compris (je suis pas un expert hien), je suppose que c est parce oracle est pas forcement optimal pour cet usage (plutot pour des grosses base de donnees) mais pas sur
      quand au probleme du google analytic, c est pas parce qu evous allez sur un site que vous etes forcement client (a moins qu ils soient cons au point d en mettre sur les pages APRES le login du client)
      quand aux administrations fiscales, elles n ont pas le droit de faire des choses illegales comme par ex pirater un serveur

      1. Une administration fiscale va tout simplement faire une requête à google pour demander la liste des ip entre telle date et telle date qui se sont connectées à la page de l’espace clients.
        Et je doute que tous les clients utilisent tor ;)

        1. D’un autre côté, je ne suis pas sûr non plus que ceux qui se connectent à cet espace soient les clients finaux. Ils vont juste « tomber » sur d’autres cabinets ou gestionnaire de porte feuille.

      2. La blague sur Oracle, c’est plutôt : pourquoi utiliser une base de données onéreuse et lourde (à mettre en place) alors qu’un simple MySQL suffit amplement pour un frontend. L’hypothèse est qu’elle est partagée avec d’autres applications plus costauds comme une GED client.
        On se dit « mais non, personne ne mélangerait données sensibles et frontend exposé à tous les vents », mais quand on voit le niveau de maintenance… pourquoi pas…

        1. Non mais attendez, je lance un chiffre au pif mais 50% des BDD Oracle sont sur dimensionnées. On en reviens juste au problème vieux comme le monde (informatique) entre la solution la plus efficace que le décideur ne connait pas (ici, MySQL ou postgres, Mango, …) à un joli nom ronflant comme Oracle.
          Le commercial leur a dit que c’était les leaders, blabla blabla et le gars à signé en bas.
          Rien de bien nouveau (malheureusement).

  3. Votre théorie semble fort probable, car sur le 5e screenshot (celui de la DB Oracle). L’URL (toujours fonctionnelle) http://appcrm.mossfon.com porte le joli nom de « CRM »…

    On peut effectivement imaginer un progiciel complet hébergeant toutes les données des clients: adresses privées, téléphones, adresses Mail,…

    Ainsi qu’une archive de tous les contacts eus avec ces mêmes clients: échanges de mails, rapports de visites ou d’appels,… Ceci expliquerait d’y retrouver aussi des vieux documents des années 70, car quoi de plus simple pour archiver ses documents que de les scanner et les déposer dans le dossier qui va bien, ceci même si le client n’est plus client aujourd’hui. ça peut servir pour relancer une future coopération ou contacter des successeurs.

    On peut même imaginer dans la section « projets » du CRM qu’on y retrouvera où est investi l’argent, d’où il provient, qui l’a versé / encaissé, quand, …

    Plus ils utilisent leur CRM depuis longtemps et plus les données seront complètes et précises.

    Pour ceux qui ne connaissent pas les CRM, Google ou Wiki aident: https://fr.wikipedia.org/wiki/Gestion_de_la_relation_client

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *