PROJET AUTOBLOG


Reflets

Site original : Reflets

⇐ retour index

#PanamaPapers : Mossack Fonseca une incroyable bourde ?

jeudi 7 avril 2016 à 11:10

Un internaute vient de nous mettre sous le nez quelques éléments très, très … dur de trouver un qualificatif adapté. On se doutait bien en jetant un bref coup d’œil que le cabinet d’avocats panaméens avait une fâcheuse tendance à faire n’importe quoi, n’importe comment.

On peut également toujours spéculer sur l’origine de la fuite mais là n’est pas le problème, pour tout vous dire, l’origine de la fuite, on s’en fout, c’est la masse de données qui parle, et ce sont ces données qui sont importantes. Nous ne sommes évidemment toujours pas en mesure d’affirmer d’où vient la cette énorme fuite, mais comme nous le sentions, en collectionnant de si mauvaises pratiques, Mossack Fonseca s’assurait à plus ou moins long terme un drame.

Le WTF du jour

Aujourd’hui… la sauvegarde d’une application interne et d’un jeu de données, probablement sensibles, sauvegardés dans un répertoire public du site web vitrine de la société :

mossfonadm1

Et l’adresse IP internet du serveur de stockage des documents

La structure de l'application et son fichier de configuration

La structure de l’application et son fichier de configuration

Et maintenant, admirez la complexité du password :

Rien de tel que de choisir le même mot de passe que le nom d'utilisateur et de base de données... et SURTOUT ne rien chiffrer, des fois qu'on oublierait le mot de passe

Rien de tel que de choisir le même mot de passe que le nom d’utilisateur et de base de données… et SURTOUT ne rien chiffrer, des fois qu’on oublierait un mot de passe si complexe.

… et évidemment

serv

La base de données SQL est probablement un jeu de données tests qui est aussi sauvegardée au même endroit :

dbmos

… oui tout ça accessible depuis un WordPress qui n’est pas à jour, installé sur un Apache mal configuré.

Michel Sapin, le Panama et la Société Générale…

mercredi 6 avril 2016 à 11:35

plaque-mossackLa finance, c’est un peu comme l’informatique. C’est « très compliqué », l’important, c’est que cela fonctionne, et peu importe de savoir comment. Qui plus est, pour bien marquer que « c’est compliqué », les acteurs de ce secteur emploient un jargon spécifique qui remplace des mots de la langue classique, généralement très précise et qui permettraient de donner un sens précis à tout ce que produit le secteur. Mais en utilisant ce jargon, la Finance entoure son activité d’un mystère et évite que le commun des mortels (la première ressource du secteur) n’y regarde de trop près. Avant de continuer votre lecture, nous vous invitons à lire ou relire cet article du 29 octobre 2008 titré « Le capitalisme peut-il être « refondé » ? Probablement pas plus que Nicolas Sarkozy…« . La publication de quelques informations générales tirées des PanamaPapers montre au moins une chose : alors que l’on avait affirmé au commun des mortels que les paradis fiscaux, c’était « terminé », crise financière mondiale sans précédent oblige, les paradis fiscaux se portent à merveille, merci pour eux. Quant aux banques qui ont provoqué la crise financière mondiale, elles ont siphonné les budgets publics, créé par leur mode de sauvetage d’une crise qu’elles avaient engendré, les bases de la prochaine catastrophe. Notez que chaque crise financière mondiale est plus grave que la précédente. Celle des subprime et de la dette souveraine vous a parue terrible ? Attendez la prochaine, vous allez rigoler.

Combien de commentateurs avisés raillent les oiseaux de mauvaise augure et pensent « ces gens sont des complotistes ou des imbéciles » ? Lorsque les oiseaux de mauvaise augure ont vu les paradis fiscaux sortir un à un de la liste noire en signant des accords (souvent entre eux) de coopération fiscale, ils ont crié au loup. En vain. Les commentateurs avisés trouvaient que tout cela allait dans le bon sens. Qu’être critiques était mauvais pour l’économie, qu’enfin le capitalisme devenait vertueux, qu’il se refondait, qu’il avait appris de la crise, on en passe… Si bien que Nicolas Sarkozy aidait le Panama a sortir de ladite liste pour favoriser le business des entreprises françaises. Les PanamaPapers étant passés par là, Michel Sapin se réveille. Paf, on va remettre le Panama sur la liste infamante des paradis fiscaux. Nul doute que cela va lui faire très peur, ainsi qu’à tous les optimisateurs fiscaux et autres fraudeurs. Les commentateurs avisés, vous rediront dans quelques semaines que « les paradis fiscaux, c’est terminé ». Plus un seul. Juré, craché. Tous les cabinets d’avocats spécialisés dans l’optimisation fiscale, toutes les banques qui offrent ce genre de services à des gens plus ou moins fortunés vont arrêter leurs conseils, fermer leurs filiales dans les paradis fiscaux. Ah… On nous glisse dans l’oreillette que c’était déjà le cas. Que les banques avaient juré que c’était fini. Et devinez qui l’avait juré ? Sous serment ? Devant les représentants du peuple ?

Si je mens, je vais en enfer…

A quoi ressemble l’enfer d’un grand banquier ? Sans doute à un endroit où l’on ne peut pas spéculer, un endroit où la solidarité entre les hommes régnerait. Un lieu affreux, où les banquiers ne pourraient plus compter sur les petits épargnants pour renflouer leurs établissement quand ceux-ci auraient créé les conditions de leur faillite.

Oui, devant les sénateurs, Frédéric Oudéa, président-directeur général du groupe Société générale, président de la Fédération bancaire française (FBF), avait juré de dire toute la vérité, rien que la vérité, quitte à être passible des peines prévues aux articles 434-13 et 434-15 du code pénal : « Le témoignage mensonger fait sous serment devant toute juridiction ou devant un officier de police judiciaire agissant en exécution d’une commission rogatoire est puni de cinq ans d’emprisonnement et de 75 000 euros d’amende. »

Et que disait-il devant la commission d’enquête évasion des capitaux le 17 avril 2012 ?

« En ce qui concerne plus particulièrement notre action en France, les déclarations de soupçon à TRACFIN ont été renforcées et étendues aux suspicions de fraude fiscale et de blanchiment de fraude, puisque sont visées désormais les « infractions punissables d’une peine de prison supérieure à un an ». Le motif de fraude fiscale n’est pas nommé en tant que tel, mais, au travers de la sanction encourue, il est bel et bien identifié.

Un décret a visé particulièrement les opérations qui sont liées aux fraudes à la TVA dites « carrousel », les opérations internationales sans cause juridique ou économique apparente, l’utilisation régulière par des personnes physiques ayant une activité en France de comptes détenus par des sociétés étrangères et les transferts de fonds vers un pays étranger ; en un mot, est utilisée toute une série d’indicateurs susceptibles de mettre en avant une évasion fiscale. Depuis 2009, nous procédons à des déclarations de soupçon sur ce fondement auprès de TRACFIN.

En outre, historiquement, nous contribuons au respect de la réglementation au travers d’une gestion responsable de notre relation clientèle. Nous assurons également – ce dispositif important est spécifique à la France, il faut le souligner – la remontée d’informations à l’administration fiscale française via les déclarations annuelles de revenus de capitaux mobiliers versés aux clients et la déclaration annuelle des intérêts versés à des résidents dans l’Union européenne. Enfin, nous respectons bien sûr le droit de communication classique vis-à-vis de l’administration.

Au-delà des dispositifs concernant TRACFIN, la Société générale a participé à la mise en place du prélèvement de retenue à la source supplémentaire en cas de versement de dividendes et à l’identification des contribuables concernés. En effet, des enquêtes – deux, en particulier – ont été récemment demandées par l’administration fiscale sur tous les transferts de fonds réalisés au cours de périodes données. Nous sommes en train de traiter deux enquêtes de ce type pour les transferts de fonds effectués entre le 1er novembre 2006 – et même, désormais, le 1er janvier 2006 – et 2011, au profit de l’administration fiscale. N’est-ce pas des transferts de fonds de la France vers l’étranger ?

Par ailleurs, en matière de présence internationale, nous avons adopté un dispositif strict. Vous vous en souvenez, mesdames, messieurs les sénateurs, la Fédération française des banques avait pris, au non des établissements qu’elle regroupe, l’engagement de fermer les implantations dans les paradis fiscaux définis en référence à la liste grise de l’OCDE. Les banques françaises ont appliqué cet engagement.

La Société générale a fermé ses implantations dans les pays qui figuraient sur cette liste grise, mais aussi dans ceux que désignait la liste des États non coopératifs, c’est-à-dire en pratique, pour nous, à Panama. Toutefois, nous avons été au-delà et avons décidé de fermer également nos implantations dans les Etats qui ont été qualifiés de centres financiers offshore, c’est-à-dire pour nous, les Philippines et Brunei. Dans ces deux pays, nous n’exerçons plus d’activité et attendons maintenant l’autorisation du régulateur local pour entériner ces fermetures.

Par ailleurs, en interne, au-delà de la réglementation applicable et des engagements pris, nous avons établi la liste des pays sortis récemment de la liste grise et de la liste des Etats non coopératifs.

Dans ces pays, et alors même qu’ils ne figurent plus sur les listes que j’ai évoquées, toute éventuelle nouvelle implantation est soumise à une procédure impliquant la validation de la direction générale du groupe. En l’occurrence, je n’ai pas le souvenir que nous ayons souhaité rouvrir une implantation dans l’un de ces Etats, mais il s’agit d’un dispositif de prévention et de sécurité supplémentaire. Enfin, une cellule de veille placée sous l’autorité du secrétaire général du groupe, Patrick Suet, est chargée de suivre la mise en oeuvre de ces engagements.

En complément de ces différentes réglementations, nous avons adopté un code de conduite fiscale comportant des engagements en matière de lutte contre l’évasion fiscale qui a été approuvé par le conseil d’administration du groupe en novembre 2010. Aux termes de ce document, nous entretenons avec les autorités fiscales une relation transparente, nous faisons nos meilleurs efforts en matière de prix de transfert – il s’agit d’un élément important, conformément aux principes de l’OCDE – et, en ce qui concerne la relation avec les clients, nous n’encourageons pas ces derniers à contrevenir aux lois et facilitons donc toutes les déclarations et informations aux autorités fiscales.

Monsieur le président, voilà ce que je souhaitais dire en introduction, pour la Société générale, mais aussi, plus largement, au nom de la FBF. Celle-ci a pris en 2009 un certain nombre d’engagements vis-à-vis des pouvoirs publics. Toutefois, elle n’est pas une autorité de contrôle, mais une fédération rassemblant un certain nombre de banques. Il appartient ensuite à chaque établissement de respecter la réglementation.« 

(…)

Premièrement, je le répète, nous n’avons plus d’activité ni dans les pays de la liste grise ni dans les États non coopératifs et nous avons été au-delà de ces exigences en fermant nos activités dans les territoires qui ne figuraient pas sur ces deux listes mais qui étaient considérés comme des centres financiers offshore.

(…)

Madame la sénatrice, premièrement, nous n’avons pas de cellule de conseil fiscal. Cette activité relève fondamentalement de la profession d’avocat.

Deuxièmement, vous évoquez les effectifs et la question de l’ouverture des filiales.

Tout d’abord, nous avons des personnels qui se consacrent à la matière juridique et à ce que l’on appelle la conformité, c’est-à-dire au respect de la réglementation liée à la lutte contre le blanchiment et la fraude fiscale, notamment. Sous l’autorité du secrétariat général, travaillent environ 800 juristes et 1 500 équivalents temps plein chargés de la conformité.

A ces effectifs, qui sont spécialisés, il faut ajouter un corps de contrôle d’audit et d’inspection générale en charge non seulement des questions de conformité, mais du contrôle de tous les aspects de notre activité. Ces personnels établissent un plan de travail annuel qui leur permet de vérifier nos établissements et de passer en revue notre politique commerciale et financière, notamment. Il s’agit d’environ 1 600 équivalents temps plein supplémentaires.

Je veux le souligner, dans un groupe comme la Société générale, l’effectif des personnels impliqués dans des tâches de contrôle est donc tout à fait considérable. Et encore, je mets de côté le travail dit « de supervision permanente », c’est-à-dire celui qui est réalisé au quotidien par les collaborateurs et par les managers chargés de vérifier la qualité du travail accompli.

(…)

Pour ce qui concerne le cas du groupe Société générale, comme je l’ai déjà indiqué, nous avons un code de conduite fiscale comprenant un certain nombre de règles que nous demandons à nos salariés de suivre : par exemple, s’assurer que les déclarations fiscales sont établies en conformité avec l’ensemble des lois locales ; ne pas mettre en place ou proposer des opérations à but exclusivement fiscal ; maintenir une relation professionnelle et de coopération avec les autorités fiscales, bref tout un ensemble de principes permettant d’entretenir de bonnes relations avec ces dernières.

(…)

Quatrième question : comment fonctionne notre conseil d’administration ? Tout d’abord, nous disposons d’un comité d’audit et des risques, qui est une émanation du conseil et qui se réunit pour examiner l’ensemble des comptes du groupe Société générale, l’ensemble des dispositifs de contrôle et, bien entendu, l’ensemble des risques auxquels nous sommes exposés.

Outre les risques financiers et de réputation, le risque fiscal fait partie des risques régulièrement étudiés par ce comité d’audit, selon des règles de gouvernance très strictes. Le fameux inspecteur général que j’ai évoqué, de même que les commissaires aux comptes – nous avons deux cabinets – rencontrent seuls ce comité d’audit, en dehors du management. Ces corps de contrôle sont donc parfaitement libres d’indiquer au comité en question : « Nous avons identifié tel ou tel problème qui nous préoccupe. »

Deuxièmement, comme je l’ai déjà précisé, cette question a fait l’objet de discussions explicites en conseil d’administration. La validation de notre code de conduite fiscale – document qui ne relève pas d’une exigence réglementaire mais bien d’une initiative du groupe Société générale -, qui a été discuté en conseil, en offre une illustration. Bien entendu, il s’agit donc de risques dont le conseil d’administration assure le suivi de manière régulière.

(…)

La lutte contre la fraude, la capacité à détecter les anomalies, ce n’est pas si simple : il faut former les personnels, et les compétences s’acquièrent avec le temps. On n’est donc pas certain à 100 % d’identifier toutes les fraudes commises !

En tout cas, l’attention ne s’est certainement pas relâchée au cours des dernières années, bien au contraire. Non seulement au sein du groupe Société générale mais au niveau des banques françaises en général, on ne cesse de renforcer les organisations, les savoir-faire, la formation, tout en restant conscient que la fraude existe et que nous devons faire face à des schémas qui sont de plus en plus sophistiqués !

C’est beau. Ce qui nous rassure, en tout cas, c’est que selon Michel Sapinle PDG de la Société générale s’est engagé à la transparence » sur les « Panama papers ». Ouf… On a eu peur.

#PanamaPapers : le mail de panique de Mossack Fonseca

mardi 5 avril 2016 à 10:51

failatfailingMossack Fonseca aurait alerté ses collaborateurs le 1er avril 2016 d’une intrusion et leur aurait fait part de ses inquiétudes.

Par delà le fait que certains noteront que le 1er avril est une date très bien sentie pour ce genre de mail, c’est quand on sait que 370 journalistes travaillent depuis un an sur le « leak » que cela prête à sourire.

Ci-dessous le mail en question (source non authentifiée et traduit par nos soins)

Anuncio a Clientes
Información Importante

Note aux clients
Information importante

Abril 1, 2016

Le 1er avril 2016

Estimados Clientes:

Chers clients:

Les dirigimos la presente para informarles que estamos en medio de un proceso de investigación exhaustiva con expertos que nos confirman que hemos sido objeto de una intromisión no autorizada a nuestro servidor de correo electrónico. Si no han recibido mensajes de nosotros hasta el momento, significa que tenemos motivos para pensar que su información no ha sido comprometida. Lamentamos sinceramente este evento y hemos tomado las medidas necesarias para remediarlo y prevenir que vuelva a ocurrir.

Nous vous adressons ce courrier pour vous informer que nous avons engagé un processus d’investigation exhaustif avec des experts qui nous confirment que nous avons fait l’objet d’une intrusion non autorisée sur notre serveur de mail. Si vous n’avez pas reçu de messages de notre part jusqu’à maintenant, cela signifie que nous avons des raisons de penser que vos informations n’ont pas été compromises. Nous sommes sincèrement désolés de cet événement et nous avons pris les mesures nécessaires pour y remédier et éviter que cela vienne à se reproduire.

En este momento, estamos trabajando con la asistencia de consultores externos para determinar en qué medida ha sido accedido nuestro sistema por parte de personas no autorizadas, qué información específica obtuvieron y el número de personas afectadas.

Nous travaillons actuellement avec l’aide de consultants externes pour déterminer dans quelle mesure des personnes non autorisées ont pu accéder à notre système et quelle information spécifique a été obtenue par ces personnes, ainsi que le nombre de clients touchés.

A continuación detallamos información adicional sobre este evento y las acciones que estamos tomando. Pueden estar seguros que la seguridad y confidencialidad de su información merecen nuestra máxima prioridad. Utilizamos niveles múltiples de seguridad electrónica y limitamos el acceso a los archivos a un reducido número de personas en nuestra firma con el fin de prevenir vulneraciones.

Ci dessous, nous détaillons des informations complémentaires et les actions auxquelles nous procédons. Vous pouvez être sûrs que la sécurité et la confidentialité de vos informations sont notre principale priorité. Nous utilisons des niveaux multiples de sécurité électronique et limitons l’accès aux archives à un nombre réduit de personnes dans notre entreprises afin de limiter les risques.

Por favor no duden en contactarnos de tener cualquier pregunta o consulta adicional al siguiente correo: clients@mossfon.com.

N’hésitez pas à nous contacter si vous avez la moindre question ou souhaitez des informations complémentairtes en utilisant l’adresse mail suivante : clients@mossfon.com

Lamentamos cualquier inconveniente que este evento le puede haber causado. Le agradecemos por su continua confianza en nosotros.

Nous sommes désolé si cet événement vous a causé des problèmes. Nous vous remercions pour votre confiance renouvelée.

Muy atentamente,

Bien à vous

Carlos Sousa-Lennox
Director de Mercadeo & Ventas

Carlos Sousa-Lennox
Directeur Marché & Ventes

Lo que Sabemos que Pasó

Ce que nous savons

Hubo un acceso no autorizado a nuestro servidor de correo electrónico por medio del cual cierta información fue recopilada por terceros externos. La identidad de ciertos individuos e información sobre ciertos aspectos de sus asuntos pueden haber sido expuestos como resultado de este acceso no autorizado. No conocemos aún la identidad o la motivación de las personas que han cometido este acto.

Il y a eu un accès non autorisé à notre serveur de courrier électronique et certaines informations ont été recopiées par des tiers externes. L’identité de certains individus et des informations sur certains aspects de leurs affaires peuvent avoir été exposés par cet accès non autorisé. Nous ne connaissons pas encore l’identité ou la motivation des personnes qui ont commis cet acte.

Lo que Haremos a Continuación

Ce que nous allons faire

Continuamos nuestra investigación con la ayuda de un consultor externo para determinar todo el alcance del acceso no autorizado. Trabajamos en la detección de todas las actividades de los infractores y en la determinación de la información que obtuvieron.

Nous allons continuer notre investigation avec l’aide d’un consultant externe pour déterminer toute la portée de l’accès non autorisé. Nous travaillons sur la détection de toutes les activités des intrus et tentons de déterminer toute les informations qu’ils ont pu obtenir.

Lo que Pueden Esperar de Nosotros

Ce que vous pouvez attendre de nous

Pueden esperar que les informaremos tan pronto tengamos mayor información relevante que comunicarles.
Hemos entablado denuncias legales respecto al hurto de información de nuestro sistema.

Nous vous informerons aussitôt que nous aurons de plus amples informations intéressantes à vous communiquer. Nous avons porté plainte pour cette intrusion.

Otras Inquietudes

Autres sujets d’inquiétude

La información que ha sido accedida en nuestros registros ha caído en manos de periodistas de ciertos medios de comunicación que han estado tomando información fuera de contexto y haciendo falsas suposiciones respecto a la naturaleza de nuestros servicios. Ya se han puesto en comunicación con nosotros en un intento por confirmar sus alegaciones y hacer otras preguntas. Hemos respondido de manera general y no hemos proporcionado detalles que expondrían información confidencial aún más. Pensamos que están intentando también comunicarse con individuos cuya información está incluida en los materiales ilegalmente tomados del contenido de los correos electrónicos que han sido expuestos.

Les informations qui ont fait l’objet d’un accès non autorisé dans nos registres est tombé entre les mains de certains médias qui prennent ces informations hors contexte et font de fausses suppositions sur la nature de nos services. Ils ont déjà pris contact avec nous afin de tenter de confirmer leurs allégations et poser d’autres questions. Nous avons répondu de manière générale et n’avons fourni aucun détail qui exposerait encore plus des informations confidentielles. Nous pensons qu’ils tentent également de se mettre en rapport avec des individus dont les informations sont présentes dans les données illégalement collectées dans les contenus des mails qui ont été exposés.

X-Original-Helo: owa.mossfon.com
Received-SPF: Pass (sender SPF authorized) identity=mailfrom; client-ip=200.46.144.4; helo=owa.mossfon.com; envelope-from=reports@mossfon.com;
Received: from owa.mossfon.com (smtp.mossfon.com [200.46.144.4])
Received: from EXCHMF3.mosfon.com (172.26.100.122) by EXCHMF4.mosfon.com
(172.26.100.123) with Microsoft SMTP Server (TLS) id 15.0.1156.6; Fri, 1 Apr
2016 15:32:49 -0500
Received: from ECAMPAIGN.local (172.26.100.46) by mail.mossfon.com
(172.26.100.122) with Microsoft SMTP Server (TLS) id 15.0.1156.6 via Frontend
Transport; Fri, 1 Apr 2016 15:32:49 -0500
From: Mossack Fonseca & Co. <reports@mossfon.com>
Date: Fri, 1 Apr 2016 15:32:49 -0500
MIME-Version: 1.0
Message-ID: <1459537970c2fae0df3b55a06a76d92afd45b11c66__mossfon.com>
Reply-To: <reports@mossfon.com>
Content-Type: text/html; charset= »utf-8″
Content-Transfer-Encoding: quoted-printable
X-EndpointSecurity-0xde81-EV: v:6.2.7.721, d:out, a:n, w:t, t:16, sv:1459528753, ts:1459542769

#PanamaPapers : Evolusoft la filiale de Mossack Fonseca anti fraude et blanchiment

mardi 5 avril 2016 à 10:00

evolusoftMossack Fonseca et nous sommes un peu plus intimes depuis cette nuit. Évidemment, nous. ne vous avons montré que des choses qui pouvaient l’être. C’est une entreprise un peu particulière, domiciliée par Mossack Fonseca qui a attiré notre attention, Evolusoft.

Evolusoft ne partage pas qu’un identifiant Google analytics (donc une adresse Gmail ce qui laisse entendre que leur relation ne se borne pas à une simple domiciliation mais qu’il d’une filiale) et une boite à lettre avec Mossack Fonseca, elle partage aussi des valeurs et des savoirs faire dont :

 

#PanamaPapers : how shit happens

mardi 5 avril 2016 à 01:38
Prenez un site vitrine en Wordpress sur un Apache mal configuré De préférence un Apache exotique Un Apache exotique qui sert aussi à faire tourner un Drupal non mis à jour depuis 2013 et gavé de failles Ah, vous aussi vous vous demandez quel genre malade ferait tourner du Wordpress et du Drupal avec une DB Oracle ? A moins que... A moins que ces applications en cachent d'autres Comme un espace clients "super secure" Bon en ce moment il ne tourne pas top top Mais, le cabinet d'avocats, très à cheval sur la confidentialité a la bonne idée de placer un script Google Analytics, l'administration fiscale US va adorer.... Evidemment cet identifiant Google analytics (rattaché à un compte gmail) parle... Mais, tiens, nous avons un invité mystère... ... Allez on vous aide