Panama Papers and Open Source Software

According to reports, outdated and vulnerable versions of WordPress and Drupal — broadly used as Open Source Content Management Systems — are behind the Panama Papers Breach.
Tierno S. Bah
Sarah Gooding. WordPress Tavern
Sarah Gooding. WordPress Tavern

Authorities have not yet identified the hacker behind the Panama Papers breach, nor have they isolated the exact attack vector. It is clear that Mossack Fonseca, the Panamanian law firm that protected the assets of the rich and powerful by setting up shell companies, had employed a dangerously loose policy towards web security and communications.Drupal logo
wordpress-logoThe firm ran its unencrypted emails through an outdated (2009) version of Microsoft’s Outlook Web Access. Outdated open source software running the frontend of the firm’s websites is also now suspected to have provided a vector for the compromise.

In initial communications with German newspaper the Süddeutsche Zeitung (SZ), an anonymous source offered the data with a few conditions, saying that his/her life was in danger.

“How much data are we talking about?” the SZ asked.

“More than anything you have ever seen,” the source said.

The Panama Papers breach is the largest data leak in history by a wide margin, with 2.6 terabytes of data, 11.5 million documents, and more than 214,000 shell companies exposed.

Forbes has identified outdated WordPress and Drupal installations as security holes that may have led to the data leak.

Forbes discovered the firm ran a three-month-old version of WordPress for its main site, known to contain some vulnerabilities. But more worrisome was that, according to Internet records, its portal used by customers to access sensitive data was most likely run on a three-year-old version of Drupal, 7.23.

The current version of the Drupal 7.x branch is 7.43.
A release candidate (Drupal-1.0 RC1 ) of the 8.x branch is available for testing from Drupal.org, pending an April 20th  final release. — Tierno S. Bah

This information is partially inaccurate, however. While looking at the site today, I found that the firm’s WordPress-powered site is currently running on version 4.1 (released in December 2014), based on its version of autosave.js, which is identical to the autosave.js file shipped in 4.1. Since that time WordPress has had numerous critical security updates.

The main site is also loading a number of outdated scripts and plugins. Its active theme is a three-year-old version of Twenty Eleven (1.5), which oddly resides in a directory labeled for /twentyten/.

The Mossack Fonseca client portal changelog.txt file is public, showing that its Drupal installation hasn’t been updated for three years. Since the release of version 7.23, the software has received 25 security updates, which means that the version it is running includes highly critical known vulnerabilities that could have given the hacker access to the server. This includes a 2014 SQL injection vulnerability known in the Drupal community as “Drupalgeddon,” which affected every site running Drupal 7.31 or below.

Investigators have not confirmed if the open source software vulnerabilities were used to access the data, but it is certainly plausible given the severity of the vulnerabilities in both older versions of WordPress and Drupal.

“They seem to have been caught in a time warp,” Professor Alan Woodward, a computer security expert from Surrey University, told Wired UK. “If I were a client of theirs I’d be very concerned that they were communicating using such outdated technology.”

If these Open Source software vulnerabilities provided the access point for this massive leak, then this company’s global fiasco was entirely preventable. Although many people welcome the uncovering of corruption and dirty money transactions of famous people and world leaders, the reality is that these kinds of exploits can also be carried out on well-meaning organizations that exist to protect people’s health records, financial data, and other sensitive information.

This leak is not a blow to Open Source software’s credibility but rather underscores how low a priority some companies place on their tech departments and web security. With the rampant software vulnerabilities in this age, not updating software for years constitutes abject neglect of customers.

The bottom line is that software needs to be updated. This kind of routine maintenance is as foundational to a company’s business as brushing teeth or showering is for one’s health. Law firms and companies with such a lax approach to security are either ignorant or unwilling to spend the money to maintain technology that they don’t fully understand. The Panama Papers serve as a reminder that having a competent, skilled tech department is critical for any company that deals in sensitive information.

Sarah Gooding
WordPress Tavern

Simandou, Mamadie Touré et les Panama Papers

Lorsqu’il s’agit de corruption gouvernementale, la Guinée est invariablement citée et impliquée. Voici, pour le moment, ce que les « Panama Papers » disent de Mamadie Touré — la quatrième épouse de feu Lansana Conté — dans le scandale de corruption du Simandou.
Tierno S. Bah

C’est une société genevoise de gestion de fortune, Agefor SA, domiciliée à Genève et encore active, qui se serait chargée d’établir Matinda Partners and Co. Ltd, une société immatriculée aux îles Vierges britanniques. Et c’est par l’intermédiaire de cette dernière, déjà connue, que Mamadie Touré a perçu de l’argent dans l’attribution d’un permis minier — depuis retiré — en Guinée.

La rue genvoise où est domiciliée la société Agefor, SA. L'adresse exacte est : rue du Rhône 100 1204 Genève (Source: Google Maps Street View)
La rue genvoise où est domiciliée la société Agefor, SA. L’adresse exacte est : rue du Rhône 100 1204 Genève (Source: Google Maps Street View) — T.S. Bah

Par où est passé l’argent ? C’est à cette question que les « Panama Papers » apportent un bout de réponse supplémentaire dans le scandale de corruption à grande échelle qui implique Mamadie Touré, la 4e épouse de feu Lansana Conté, qui vit aux États-Unis depuis le décès de l’ancien général-président.

Mamadie Touré, ainsi qu’elle l’a reconnu, a joué de ses bons offices au profit de BSGR – Beny Steinmetz Group Ressources. La société du très controversé milliardaire franco-israélien Beny Steinmetz avait obtenu pour 161 millions de dollars des permis sur les blocs 1 et 2 du gisement de Simandou, une chaîne de montagne qui regorge de fer au sud du pays, et ce quelques jours à peine avant la mort du dictateur en décembre 2008.

Matinda Partners, Beneficence Foundation et Agefor SA

« En novembre 2006, Mamadie Touré reçoit procuration pour Matinda Partners and Co. Ltd (déjà évoqué par Jeune Afrique en 2013), une société immatriculée aux îles Vierges britanniques. La même année, elle se met en rapport avec une compagnie minière qui, comme les autorités américaines le supposeront plus tard, lui demande, moyennant 5,3 millions de dollars, de l’aider à remporter une concession minière », écrit l’ICIJ, le consortium international de journalistes d’investigation qui a commencé à publier, le 3 avril, l’identité des clients de Mossack Fonseca, une firme panaméenne chargée de créer et de domicilier des sociétés basées dans des paradis fiscaux.

Seuls éléments nouveaux dans la publication de l’ICIJ concernant Mamadie Touré, c’est une société genevoise de gestion de fortune, Agefor SA, domiciliée à Genève et encore active, qui se serait chargée d’établir Matinda Partners and Co. Ltd. De plus, écrit l’ICIJ, « Mamadie Touré a eu recours à un actionnaire prête-nom, Beneficence Foundation, et à une société suisse pour la gestion de la fondation. » Matinda, fondée le 17 novembre 2006, a été fermée le 30 avril 2010.

Mamadie Touré qui vit en Floride, a reconnu avoir perçu de l’argent pour aider à la délivrance des permis de BSGR à Simandou. Ces permis ont été retirés au groupe anglo-australien Rio Tinto, qui en était détenteur depuis une dizaine d’années, puis octroyés en 2008 au groupe israélien.

Ce dernier, dans un extraordinaire coup de poker, a lui-même revendu 51% des parts de cette concession au brésilien Vale pour 2,5 milliards de dollars en 2010 — soit 15 fois le prix payé pour les permis sur les blocs 1 et 2.

Enquêtes et arrestations

Dimanche 14 avril 2013, à l’aéroport de Jacksonville, en Floride, Mamadie Touré avait contribué à l’arrestation de Frédéric Cilins, un intermédiaire français de BSGR. Ce dernier a été condamné à deux ans de prison ferme en juillet 2014 pour obstruction à la justice dans le cadre d’une enquête. Il a été extradé en France au terme de sa détention en février 2015, rapportait le Financial Times.

Le 19 avril 2013,  Ibrahima Sory Touré, vice-président et directeur des relations publiques de BSGR et frère de Mamadie Touré, et Issaga Bangoura, responsable de la sécurité de la société, sont eux aussi arrêtés en Guinée. Ils ont été libérés le 30 novembre 2013 après 7 mois d’emprisonnement.

Parallèlement à l’enquête américaine qui se poursuit, la Guinée a pris les devants et retiré le permis accordé à BSGR et Vale, conformément aux recommandations d’un comité d’audit mis en place par le gouvernement.

La maison américaine de Mamadie Touré a été perquisitionnée par les autorités américaines en novembre 2014, qui estiment qu’elle a été acquise avec l’argent perçu par BSGR.

Le groupe australien Rio Tinto a quant à lui annoncé mercredi 30 avril 2014 avoir déposé une plainte contre son concurrent le brésilien Vale et BSGR. Une plainte dont il a été déboutée par une juridiction new-yorkaise à la fin de 2015, selon le Financial Times.

Benjamin Polle
Jeune Afrique