#PanamaPapers : le mail de panique de Mossack Fonseca

failatfailingMossack Fonseca aurait alerté ses collaborateurs le 1er avril 2016 d’une intrusion et leur aurait fait part de ses inquiétudes.

Par delà le fait que certains noteront que le 1er avril est une date très bien sentie pour ce genre de mail, c’est quand on sait que 370 journalistes travaillent depuis un an sur le « leak » que cela prête à sourire.

Ci-dessous le mail en question (source non authentifiée et traduit par nos soins)

Anuncio a Clientes
Información Importante

Note aux clients
Information importante

Abril 1, 2016

Le 1er avril 2016

Estimados Clientes:

Chers clients:

Les dirigimos la presente para informarles que estamos en medio de un proceso de investigación exhaustiva con expertos que nos confirman que hemos sido objeto de una intromisión no autorizada a nuestro servidor de correo electrónico. Si no han recibido mensajes de nosotros hasta el momento, significa que tenemos motivos para pensar que su información no ha sido comprometida. Lamentamos sinceramente este evento y hemos tomado las medidas necesarias para remediarlo y prevenir que vuelva a ocurrir.

Nous vous adressons ce courrier pour vous informer que nous avons engagé un processus d’investigation exhaustif avec des experts qui nous confirment que nous avons fait l’objet d’une intrusion non autorisée sur notre serveur de mail. Si vous n’avez pas reçu de messages de notre part jusqu’à maintenant, cela signifie que nous avons des raisons de penser que vos informations n’ont pas été compromises. Nous sommes sincèrement désolés de cet événement et nous avons pris les mesures nécessaires pour y remédier et éviter que cela vienne à se reproduire.

En este momento, estamos trabajando con la asistencia de consultores externos para determinar en qué medida ha sido accedido nuestro sistema por parte de personas no autorizadas, qué información específica obtuvieron y el número de personas afectadas.

Nous travaillons actuellement avec l’aide de consultants externes pour déterminer dans quelle mesure des personnes non autorisées ont pu accéder à notre système et quelle information spécifique a été obtenue par ces personnes, ainsi que le nombre de clients touchés.

A continuación detallamos información adicional sobre este evento y las acciones que estamos tomando. Pueden estar seguros que la seguridad y confidencialidad de su información merecen nuestra máxima prioridad. Utilizamos niveles múltiples de seguridad electrónica y limitamos el acceso a los archivos a un reducido número de personas en nuestra firma con el fin de prevenir vulneraciones.

Ci dessous, nous détaillons des informations complémentaires et les actions auxquelles nous procédons. Vous pouvez être sûrs que la sécurité et la confidentialité de vos informations sont notre principale priorité. Nous utilisons des niveaux multiples de sécurité électronique et limitons l’accès aux archives à un nombre réduit de personnes dans notre entreprises afin de limiter les risques.

Por favor no duden en contactarnos de tener cualquier pregunta o consulta adicional al siguiente correo: clients@mossfon.com.

N’hésitez pas à nous contacter si vous avez la moindre question ou souhaitez des informations complémentairtes en utilisant l’adresse mail suivante : clients@mossfon.com

Lamentamos cualquier inconveniente que este evento le puede haber causado. Le agradecemos por su continua confianza en nosotros.

Nous sommes désolé si cet événement vous a causé des problèmes. Nous vous remercions pour votre confiance renouvelée.

Muy atentamente,

Bien à vous

Carlos Sousa-Lennox
Director de Mercadeo & Ventas

Carlos Sousa-Lennox
Directeur Marché & Ventes

Lo que Sabemos que Pasó

Ce que nous savons

Hubo un acceso no autorizado a nuestro servidor de correo electrónico por medio del cual cierta información fue recopilada por terceros externos. La identidad de ciertos individuos e información sobre ciertos aspectos de sus asuntos pueden haber sido expuestos como resultado de este acceso no autorizado. No conocemos aún la identidad o la motivación de las personas que han cometido este acto.

Il y a eu un accès non autorisé à notre serveur de courrier électronique et certaines informations ont été recopiées par des tiers externes. L’identité de certains individus et des informations sur certains aspects de leurs affaires peuvent avoir été exposés par cet accès non autorisé. Nous ne connaissons pas encore l’identité ou la motivation des personnes qui ont commis cet acte.

Lo que Haremos a Continuación

Ce que nous allons faire

Continuamos nuestra investigación con la ayuda de un consultor externo para determinar todo el alcance del acceso no autorizado. Trabajamos en la detección de todas las actividades de los infractores y en la determinación de la información que obtuvieron.

Nous allons continuer notre investigation avec l’aide d’un consultant externe pour déterminer toute la portée de l’accès non autorisé. Nous travaillons sur la détection de toutes les activités des intrus et tentons de déterminer toute les informations qu’ils ont pu obtenir.

Lo que Pueden Esperar de Nosotros

Ce que vous pouvez attendre de nous

Pueden esperar que les informaremos tan pronto tengamos mayor información relevante que comunicarles.
Hemos entablado denuncias legales respecto al hurto de información de nuestro sistema.

Nous vous informerons aussitôt que nous aurons de plus amples informations intéressantes à vous communiquer. Nous avons porté plainte pour cette intrusion.

Otras Inquietudes

Autres sujets d’inquiétude

La información que ha sido accedida en nuestros registros ha caído en manos de periodistas de ciertos medios de comunicación que han estado tomando información fuera de contexto y haciendo falsas suposiciones respecto a la naturaleza de nuestros servicios. Ya se han puesto en comunicación con nosotros en un intento por confirmar sus alegaciones y hacer otras preguntas. Hemos respondido de manera general y no hemos proporcionado detalles que expondrían información confidencial aún más. Pensamos que están intentando también comunicarse con individuos cuya información está incluida en los materiales ilegalmente tomados del contenido de los correos electrónicos que han sido expuestos.

Les informations qui ont fait l’objet d’un accès non autorisé dans nos registres est tombé entre les mains de certains médias qui prennent ces informations hors contexte et font de fausses suppositions sur la nature de nos services. Ils ont déjà pris contact avec nous afin de tenter de confirmer leurs allégations et poser d’autres questions. Nous avons répondu de manière générale et n’avons fourni aucun détail qui exposerait encore plus des informations confidentielles. Nous pensons qu’ils tentent également de se mettre en rapport avec des individus dont les informations sont présentes dans les données illégalement collectées dans les contenus des mails qui ont été exposés.

X-Original-Helo: owa.mossfon.com
Received-SPF: Pass (sender SPF authorized) identity=mailfrom; client-ip=200.46.144.4; helo=owa.mossfon.com; envelope-from=reports@mossfon.com;
Received: from owa.mossfon.com (smtp.mossfon.com [200.46.144.4])
Received: from EXCHMF3.mosfon.com (172.26.100.122) by EXCHMF4.mosfon.com
(172.26.100.123) with Microsoft SMTP Server (TLS) id 15.0.1156.6; Fri, 1 Apr
2016 15:32:49 -0500
Received: from ECAMPAIGN.local (172.26.100.46) by mail.mossfon.com
(172.26.100.122) with Microsoft SMTP Server (TLS) id 15.0.1156.6 via Frontend
Transport; Fri, 1 Apr 2016 15:32:49 -0500
From: Mossack Fonseca & Co. <reports@mossfon.com>
Date: Fri, 1 Apr 2016 15:32:49 -0500
MIME-Version: 1.0
Message-ID: <1459537970c2fae0df3b55a06a76d92afd45b11c66__mossfon.com>
Reply-To: <reports@mossfon.com>
Content-Type: text/html; charset= »utf-8″
Content-Transfer-Encoding: quoted-printable
X-EndpointSecurity-0xde81-EV: v:6.2.7.721, d:out, a:n, w:t, t:16, sv:1459528753, ts:1459542769

Twitter Facebook Google Plus email

29 thoughts on “#PanamaPapers : le mail de panique de Mossack Fonseca”

  1. ouai les amis, ca n’etonne personne que tant de monde passe par le meme cabinet d’avocat dans un pays qui est quand meme assez pote avec les états unis.
    Poutine, le chinois, le syrien, l’egyptien et le saoudien, ils vont tous faire un montage financier qui passe par le meme truc et personne parmi les services secrets à tilté que ce pouvait poser un probleme, justement dans ce pays pote avec les Etats unis ?

    Ca ne serait pas plutôt les journalistes français qui prennent leurs désirs pour des réalités ?

    1. Peut-être que quand tu veux planquer des millions piqués dans les caisses de l’état, tu vas pas demander leur avis aux services de ce même état? ça serait un peu donner le bâton pour se faire battre. ^^

      1. Genre poutine, il le ferait pas ?
        Genre les services secrets ils font pas de l’argent au black pour infiltrer ce genre de reseau.
        Et bien sur les failles sur le site web des mecs sont merdique.
        Faut etre sérieux, les gens qu’on pincera c’est des fraudeurs normaux, mais pas aussi haut.

        1. Poutine a des ennemis, forcément.
          et les coups d’état, ça existe.
          Même quand tu t’appelles Poutine, j’imagine que tu évites de donner du grain à moudre à tes adversaires.
          d’un autre côté on peut aussi se dire que vu qu’il se sait intouchable, il en a absolument rien à carrer que ses potes se fassent choper la main dans le pote de confiture. un peu comme les arabes: ils s’en foutent.

          y’en a qui s’en foutent moins, c’est les chinois… ^^

    2. et une theorie du complot, une !
      Vous croyez qu il y a tant d endroit que ca ou vous avez :
      – un savoir faire en matiere de off shore et holding
      – un systeme (banque/avocat) sur (enfin finalement pas tant que ca)
      – un pays ou vous risquez pas de vous faire depouiller si vous perdez le pouvoir ou l appui du pouvoir (donc vous devez planquer l argent hors de votre pays). sinon pour info la suisse a bloque l argent de Ben Ali quand il est tombe … panama ne fait pas ca. Des pays stables et sur il n y en a pas tant que ca. Planquer son argent dans les emirats c est peut etre sans impots mais en cas de revolution de palais , c est 100 % de perte

      1. Et depuis quand c’est un argument de traiter l’autre de complotiste ?
        Une chose est vrai ou fausse, mais certainement pas fausse parce que l’un ou l’autre peut y reconnaitre un complot ?

    3. >Ca ne serait pas plutôt les journalistes français qui prennent leurs désirs pour des réalités ?

      En citant Le Monde, ce serait plutôt 108 rédactions de 76 pays. Il s’agirait d’archives de 1977 à 2015.

  2. hum… moi je vois 2 serveurs exchange, dont un en frontal pour les accès OWA, qu’ils sont sur le même plan d’adressage et que le poste qui a envoyé le message était sur le LAN aussi.. Ah oui des Exchange 2013 Cumulative Update 11.
    C’est fou comme c’est bavard une en-tête SMTP ^^

      1. « 2.6TB of stolen data »
        « If you assume a generous allowance of 1MB of data per printed A4 page, 2.6TB comes out at 2,600,000 pages. »

        Je veux bien qu’on m’explique que c’est sur 40 ans, mais ca vous semble vraissemblable qu’un cabinet d’avocat produise à lui seul une telle quantité de documents ?
        S’il y a du leak et qu’il est juste (à prouver), ce cabinet d’avocat n’est que l’arbre qui cache la forêt…

        Quand à sapin qui veut les replacer sur la liste des paradis fiscaux, qui pour parier que c’est de la poudre aux yeux ?

        1. tu serais étonné de ce que certains utilisateurs sont capables de créer en un temps donné.
          Pas étonnant on plus pour des avocats; quand on voit déjà les archives qu’ils doivent se trainer au format papier. Si tout est passé au numérique… Les volumes doivent exploser assez vite.
          Je trouve ce volume presque trop petit.

          @Bluetouff> je viens de lire l’article, intéressant mais je reste dubitatif.

          Question: les données du PanamaPapers contiennent uniquement des scan ou aussi des documents numériques (doc, pdf etc…) ?
          Selon la nature des documents:
          * soit ce sont des scans de mails, et effectivement l’idée du piratage de boite se tient (avec éventuellement l’impression ou la récupération des pièces jointes)
          * soit les documents sont de nature diverses, dont certains ont un poids AU DELA des 30 Mo (taille max de pièce jointe chez certains hébergeurs et filtres antispam), auquel cas on s’oriente vers de la copie de données depuis les partages (ou de la fuite en interne)

          Et vu ce que disait le journal allemand, je prends ça pour de la fuite interne (voir section « Que sait-on de la source » sur http://www.lemonde.fr/evasion-fiscale/article/2016/04/03/panama-papers-une-plongee-inedite-dans-la-boite-noire-des-paradis-fiscaux_4894823_4862750.html)

          1. Pourquoi un mec informatiserait et mettrait en ligne des trucs aussi volumineux qui datent de 77 ?
            (punk is not dead)

          2. obligation légale sur l’archivage des données?
            c’est une hypothèse mais si des sociétés sont toujours en activité depuis 77, ça pourrait expliquer.

    1. Fuck je viens de percuter tu as raison, c’est pas un mail aux clients en fait, c’est un mail interne aux collaborateurs je viens de percuter le 172.*
      Ça voudrait dire que ça leak depuis chez eux ou qu’il y a toujours une brèche permettant d’exfiltrer du mail…

      1. euh c’est sûr qu’on lit la même chose sur l’entête?
        je reprends (de bas en haut, pour les néophytes en en-tête de messagerie)

        From: Mossack Fonseca & Co.
        Date: Fri, 1 Apr 2016 15:32:49 -0500 <- adresse d'expédition, jusque là on est d'accord

        Received: from ECAMPAIGN.local (172.26.100.46) by mail.mossfon.com
        (172.26.100.122) with Microsoft SMTP Server (TLS) id 15.0.1156.6 via Frontend
        Transport; Fri, 1 Apr 2016 15:32:49 -0500 <- donc c'est expédié depuis un ordinateur appelé 'ecampaign.local' ayant pour IP 172.26.100.46; et ça a été reçu par le server 'mail.mossfon.com' ayant pour IP 172.26.100.122, ce serveur est un Exchange 2013 Cumulative Update 11 car sa version est 15.0.1156.6

        Jusque là, j'ai un poste, sur un LAN qui contacte son serveur de messagerie pour envoyer un mail, fort bien.
        Ensuite….

        Received: from EXCHMF3.mosfon.com (172.26.100.122) by EXCHMF4.mosfon.com
        (172.26.100.123) with Microsoft SMTP Server (TLS) id 15.0.1156.6; Fri, 1 Apr
        2016 15:32:49 -0500 <- le mail est transmis du serveur 'EXCHMF3.mosfon.com' (IP 172.26.100.122) vers un autre serveur 'EXCHMF4.mosfon.com' avec pour IP 172.26.100.123 qui est lui aussi un serveur Exchange 2013 cumulative Update 11.

        En l'état on note que le serveur exchange 172.26.100.122 a 2 noms DNS: mail.fosscon.com (notez les 2 S dans mossfon) et exchMF3.mosfon.com (notez le S dans mosfon).
        Le plan d'adressage indique en tout cas que le mail est toujours dans le LAN
        Enfin…

        Received-SPF: Pass (sender SPF authorized) identity=mailfrom; client-ip=200.46.144.4; helo=owa.mossfon.com; envelope-from=reports@mossfon.com;
        Received: from owa.mossfon.com (smtp.mossfon.com [200.46.144.4]) nom DNS public recommandé pour la mise en place du service OWA d’Exchange (Outlook Web Acess ou Outlook Web App, selon la version d’exchange), OA = accès webmail et téléphone mobile; il y a 2 exchange, donc « un qui servirait » nécessairement de serveur frontal (172.26.100.123) pour les connexions OWA et « l’autre qui stockerait » les bases de données (172.26.100.122)
        5) aucun destinataire mentionné dans l’entête… Même si c’est du CCI, le serveur doit bien savoir, à un moment ou à un autre, à qui il doit l’envoyer, donc où est l’info?

        5) on a bien un Reply-To: donc l’adresse d’expédition et de réponse sont identiques, c’est ni un alias ni une liste de distribution.

        Grande question à 2 000 points: d’où vient ce mail? d’un collaborateur interne? ou d’un client?
        Attention, pour cette question je ne demande pas de réponse (surtout pas ici), c’est un point « philosophique » que je soulève. Eu égard des questions posées plus haut, la grande question est de déterminer si le mail obtenu provient bien du destinataire, ou s’il vient d’un tiers ET que des infos auraient été nettoyées.

        En l’état Bluetouff, en regardant l’en-tête, je suis incapable de te dire si ce mail est interne ou externe. il manque des infos

        1. edit: un bout de mon texte a été supprimé.
          je reprends les questions de fin
          ———————–

          Received-SPF: Pass (sender SPF authorized) identity=mailfrom; client-ip=200.46.144.4; helo=owa.mossfon.com; envelope-from=reports@mossfon.com;
          Received: from owa.mossfon.com (smtp.mossfon.com [200.46.144.4]) nom DNS public recommandé pour la mise en place du service OWA d’Exchange (Outlook Web Acess ou Outlook Web App, selon la version d’exchange), OA = accès webmail et téléphone mobile; il y a 2 exchange, donc « un qui servirait » nécessairement de serveur frontal (172.26.100.123) pour les connexions OWA et « l’autre qui stockerait » les bases de données (172.26.100.122)

          Vu l’en-tête je me pose plusieurs questions:
          1) où est le serveur de destination de messagerie?

          2) Si le mail est en interne, pourquoi une mention du champ SPF?
          le champ SPF en DNS indique un serveur d’expédition de ail, non géré par l’hébergeur du nom de domaine, mais considéré comme « de confiance » (typiquement un serveur d’envoi hébergé dans les locaux du client), or si le courrier est reçu en interne, l’IP publique ne doit pas apparaitre

          3) aucun destinataire mentionné dans l’entête… Même si c’est du CCI, le serveur doit bien savoir, à un moment ou à un autre, à qui il doit l’envoyer, donc où est l’info?

          On a bien un Reply-To: donc l’adresse d’expédition et de réponse sont identiques, c’est ni un alias ni une liste de distribution.

          Grande question à 2 000 points: d’où vient ce mail? d’un collaborateur interne? ou d’un client?
          Attention, pour cette question je ne demande pas de réponse (surtout pas ici), c’est un point « philosophique » que je soulève. Eu égard des questions posées plus haut, la grande question est de déterminer si le mail obtenu provient bien du destinataire, ou s’il vient d’un tiers ET que des infos auraient été nettoyées.

          En l’état Bluetouff, en regardant l’en-tête, je suis incapable de te dire si ce mail est interne ou externe. il manque des infos

  3. Mes pensées du jour sur les « Panama papers ».

    Beaucoup de choses sonnent franchement faux dans cette hyper-médiatisation qui ressemble à une chasse aux paradis fiscaux. Tout d’abord on laisse penser que toutes les sociétés positionnées à l’offshore seraient illégales ce qui est pure aberration. De ce point de vue la France est d’ailleurs ni plus ni moins un paradis fiscal elle-même dans le domaine de la recherche avec ses fameux « crédits recherche » et le Panama est à peu près la pointe d’une aiguille au regard du Luxembourg ou de places comme Hong Kong, Tortola etc…

    Ensuite il n’y a rien de plus légal que de vouloir optimiser un patrimoine pour payer moins d’impôts légalement quand on ne cherche pas à blanchir ou à cacher de l’argent. Ainsi par exemple quelques 275.000 sociétés françaises n’ayant pas d’activité directe au Royaume-Uni ont décidées d’y implanter leurs sièges sociaux uniquement pour payer moins de TVA qu’en France. Peut-on leur reprocher de vouloir moins payer d’impôts face au racket fiscal à l’heure de 2016 ?

    Mais le plus troublant dans cette nouvelle affaire des « Panama papers » c’est que le consortium de journalistes qui a « révélé » ces informations partielles sur lesquelles il travaille d’ailleurs depuis de nombreux mois et qui avait déjà fait l’objet d’une enquête préliminaire rendue publique il y a quelques années en arrière, demeure excessivement discret sur l’examen forensique du support de leur source. Là, en revanche il y a un réel problème avec l’ICIJ qui pourrait bien se retourner contre eux car il y a une obligation formelle de fournir des preuves d’authenticité des données sans dévoiler pour autant « la source » qui se cache derrière John Doe.

    Ce support électronique provient-il bien de la société panaméenne de Zurich ou est-ce que ces données ont été volées par un groupe de hackers ? Qu’en savez-vous ? Qui a eu la charge officielle de l’examen du support électronique et de ses fichiers systèmes qui peuvent effectivement prouver l’authenticité de leur origine, leur connectivité à des ordinateurs chez Fonseca à Zurich ou ailleurs ? Eux sauront le dévoiler en temps et en heure…ce qui est visiblement le cas. Services secrets français à la recherche de fonds ? CIA ? Ensuite qu’elle a donc été la chaîne de possession du support (chain of custody) et où est-elle dans les documents diffusés ? Est-ce que certains fichiers ont été supprimés, modifiés, altérés, dissimulés ? Dans la négative qu’est-ce qui le prouve ? Qui a procédé à la création de l’image bit par bit du support confié aux journalistes de l’ICIJ ? Quels sont les sommes de contrôles ? Quels algorithmes ont-ils utilisés ? Y-a-t-il eu un test d’anti-collision sur ces sommes de contrôles ? Depuis les fichiers système du disque dur ou de la clé USB ou du serveur exploité l’on peut en effet en savoir très très long sur l’origine complète, sur le degré de « contamination » et par conséquent sur l’authenticité des données acquises.

    Plus troublant encore, ce signal d’informations « partielles » délivrées lentement au jour le jour selon les rédactions dans les pays, un peu comme si nous étions au marché au poisson. En déclarant publiquement que d’autres dossiers sommeillent en « stand-by » on laisse penser que la presse – toujours sous le couvert de la protection de sa (ou de ses sources) – pourrait jouer le rôle du judiciaire dans plusieurs pays en arbitrant directement les informations qu’elle délivre aux masses et quelles sont celles qu’elle conserve avec son pouvoir discrétionnaire…

    Cela semble à priori tout à fait invraisemblable et à ce stade on peut franchement s’interroger sur le fait de savoir si nous sommes bien dans de « l’informatif » ou dans tout à fait autre chose, et si la presse n’a pas sans le savoir été tout simplement aussi bien manipulée que nous.

    Belle journée.
    Ici Radio Londres

  4. Salut Radio Londres

    Est-ce que tu vois l’œil dans le ciel avec un triangle ?

    Sinon, que fait-on de Snowden et Assange ?

    On clique dessus et on les met dans la Recycle Bin ?

    Bonne journée

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *