Discussion :

[Stéphane le calme]

Les données de 143 millions d'Américains ont été potentiellement exposées à un piratage,
d'une société de renseignement de crédit

Dans un communiqué de presse, Equifax, une agence de déclaration de crédit à la consommation aux États-Unis (considérée comme l'une des trois plus grandes agences de crédit américaines avec Experian et TransUnion), a confirmé avoir été victime d’une violation de données suite à une attaque qui a eu lieu le 29 juillet.

Pour rappel, les sociétés de renseignement de crédit travaillent à réunir des informations sur les personnes contractant un emprunt et émettent à leur propos un « credit score » censé mesurer leur solvabilité. Ce type de société collecte donc de nombreuses données personnelles et financières sur ses clients afin de mesurer leur capacité à rembourser leurs dettes.

Au total, les données de près de 143 millions de clients américains ont été exposées. Les pirates ont eu accès, de mi-mai à juillet, à des informations comme les noms, les adresses, les dates de naissance, les numéros de sécurité sociale et le permis de conduire, autant d’informations qui peuvent servir à une usurpation d’identité.

Equifax a également précisé que les cybercriminels étaient parvenus à accéder aux numéros de carte de crédit de 209 000 citoyens américains. Ils ont également pu mettre la main sur plus de 180 000 dossiers de crédits.

L’agence a été sous le feu de la critique notamment par rapport à la façon dont elle a géré cet incident. Tout d’abord, l’agence, qui dispose d’un chiffre d’affaires de 2,7 milliards de dollars, a créé un site Web qui s’appuie sur un simple WordPress sur un hébergement standard avec le certificat gratuit SSL pour proposer aux clients de vérifier si votre compte a été piraté. En somme, un site qui n’est pas sécurisé et vous demande votre nom et votre numéro de sécurité sociale.

Le comble est que pour la plupart des informations que vous entrez, le site va vous dire : « Merci ! Sur la base des informations que vous avez fournies, nous pensons que vos informations personnelles auraient pu être impactées par cet incident. »

En outre, Equifax a annoncé avoir recruté une firme de sécurité informatique indépendante pour gérer la brèche : il s’agit de Mandiant, qui a été racheté par FireEye. L’annonce officielle de la brèche d’Equifax date de quelques jours, mais certains supposent qu’il y avait des personnes qui la connaissaient et qui ont voulu en profiter.

Cette hypothèse a été formulée notamment à cause du nom de domaine appelé equihax qui a été enregistré le 5 septembre 2017. La personne qui l’a enregistré s’appelle Brandan Schondorfer. Une simple recherche Google montre que Brandan Schondorfer travaille pour Mandiant. En clair, un employé d’une firme de sécurité, censé gérer l’une des pires brèches de sécurité dans l’histoire, a créé un site qui s’apparente à une tentative de Phishing.

Néanmoins, il se pourrait que Mandiant ait enregistré ce nom de domaine pour couper l’herbe sous le pied des cybercriminels et éviter qu’il ne tombe entre leurs mains. Néanmoins, il faut rappeler que pour cette technique, les cybercriminels peuvent utiliser des dizaines de noms de domaine à la place. Il serait donc plus intéressant de tous les réserver pour renforcer la crédibilité de cette hypothèse.

Au passage, notons que pendant les deux mois qui ont précédé cette annonce, les dirigeants auraient vendu massivement leurs actions qui ont d’ailleurs perdu 19 % de leur valeur dans les échanges d‘après-bourse juste après ce communiqué.

Le groupe a ouvert une enquête et coopère avec les autorités fédérales américaines. Le FBI suit la situation, a confirmé une porte-parole de l‘agence de renseignement intérieur.

Source : Reuters, Housenia

Et vous ?

Qu'en pensez-vous ?

Mise à jour du 16/09/2017 : Le DSI d'Equifax démissionne à la suite d'une violation massive des données

Dans un communiqué, l’entreprise a annoncé ce vendredi que deux de ses cadres supérieurs ont donné leur démission :

« La société a annoncé que le DSI et le chef de la sécurité démissionnent. Mark Rohrwasser a été nommé DSI par intérim. Rohrwasser a rejoint Equifax en 2016 et a dirigé les opérations internationales de commerce d'Equifax depuis cette date. Russ Ayres a été nommé responsable de la sécurité par intérim. Ayres a récemment occupé le poste de vice-président de l'organisation informatique d'Equifax. Il rendait des comptes directement au DSI. Cette décision est effective immédiatement. »

La veille, Equifax avait pointé du doigt une faille dans Apache Struts qui aurait été utilisée par des pirates pour accéder aux informations de 143 millions de ses clients américains

Source : Equifax

[DotNetMatt]

C'est dingue. Surtout que la note d'Equifax a ete rabaissee a 'F' pas longtemps avant l'attaque. A cela il faut rajouter que des dirigeants d'Equifax dont le CFO ont revendu des actions juste avant que la faille ne soit communiquee au grand public... Sans compter leur communication plus que pitoyable.

D'apres pas mal d'articles des enquetes ont commence donc on peut esperer une class action bientot. Pour ma part, aucun article ne releve la presence de donnees de residents Francais mais le site qui a ete mis en place pour verifier cela indiquait que je pouvais avoir ete touche, sans en dire plus...

Il est quand meme hallucinant de voir qu'une societe faisant partie des "Big Three" (les 3 bureau de credit) puissent continuer a operer avec des donnees aussi sensibles et avec une note 'F' en securite.

[Stéphane le calme]

Equifax pointe du doigt une faille dans Apache Struts qui aurait été utilisée par des pirates,
pour accéder aux informations de 143 millions de ses clients américains

Dans un communiqué de presse, Equifax, une agence de déclaration de crédit à la consommation aux États-Unis (considérée comme l'une des trois plus grandes agences de crédit américaines avec Experian et TransUnion), a confirmé avoir été victime d’une violation de données suite à une attaque qui a eu lieu le 29 juillet.

La société a pointé du doigt une faille dans le logiciel qui exécute ses bases de données en ligne et qui aurait permis aux pirates d’accéder aux informations personnelles d'environ 143 millions d'Américains. Les pirates ont eu accès, de mi-mai à juillet, à des informations comme les noms, les adresses, les dates de naissance, les numéros de sécurité sociale et le permis de conduire, autant d’informations qui peuvent servir à une usurpation d’identité.

Equifax a également précisé que les cybercriminels étaient parvenus à accéder aux numéros de carte de crédit de 209 000 citoyens américains. Ils ont également pu mettre la main sur plus de 180 000 dossiers de crédits.

Jeffrey Meuler, analyste chez RW Baird & Co., a indiqué que le logiciel open source Apache STRUTS était mis en cause.

STRUTS est un système largement utilisé (par environ 65 % des sociétés figurant dans la liste Fortune 100 parmi lesquelles Lockheed Martin, Citigroup, Vodafone, Virgin Atlantic, Reader's Digest, Office Depot et Showtime).

Dans un communiqué sur son blog, Apache a déclaré ceci :

« Nous sommes navrés d'entendre les nouvelles selon lesquelles Equifax a souffert d'un incident de sécurité et de divulgation d'informations qui a été potentiellement exploité en s’appuyant sur une vulnérabilité dans Apache Struts Web Framework. À ce moment-là, il n'est pas évident de savoir quelle vulnérabilité de Struts aurait été utilisée. Dans un article en ligne publié sur Quartz.com, il a été supposé que la violation pourrait être liée à CVE-2017-9805, qui a été annoncée publiquement le 04-09-2017 ainsi que les nouvelles versions du logiciel Struts Framework pour corriger cette vulnérabilité parmi d'autres. Cependant, la violation de sécurité a été détectée en juillet, ce qui signifie que les attaquants ont utilisé une vulnérabilité annoncée précédemment sur un serveur Equifax non partagé ou alors qu’ils ont exploité une vulnérabilité inconnue à ce moment. Si la violation a été causée par l'exploitation de CVE-2017-9805, elle aurait été une exploitation de type zero day à ce moment-là. L'article indique également que la vulnérabilité CVE-2017-9805 existe depuis neuf ans maintenant.

« Nous, en tant que Apache Struts PMC, voulons préciser que l'équipe de développement s'efforce énormément de sécuriser ainsi que de renforcer le logiciel que nous produisons. Nous nous employons à résoudre les problèmes chaque fois qu’ils sont portés à notre attention. Conformément aux règles de sécurité d'Apache, une fois que nous nous sommes informés d'un éventuel problème de sécurité, nous travaillons en privé avec l'entité déclarante pour reproduire et résoudre le problème et déployer une nouvelle version sécurisée face à la vulnérabilité découverte. Nous publions la description du problème et comment le réparer. Même si le code d'exploitation est connu de nous, nous essayons de retenir cette information pendant plusieurs semaines pour donner aux utilisateurs de Struts Framework le plus de temps possible pour réparer leurs produits logiciels avant que les exploits ne soient diffusés. Cependant, étant donné que la détection et l'exploitation de la vulnérabilité sont devenues une entreprise professionnelle, il est toujours probable que des attaques se produiront avant même que nous divulguions complètement les vecteurs d'attaque, par ingénierie inverse du code qui corrige la vulnérabilité en question ou en cours d'analyse pour les vulnérabilités inconnues.

« En ce qui concerne l'affirmation selon laquelle, en particulier, CVE-2017-9805 est une faille de sécurité de neuf ans, il faut comprendre qu'il existe une énorme différence entre la détection d'un défaut après neuf ans et la connaissance d'un défaut depuis plusieurs années. Si ce dernier était le cas, l'équipe aurait eu du mal à fournir une bonne réponse expliquant pourquoi ils ne l'ont pas corrigé plus tôt. Mais ce n'était pas le cas ici – nous avons été informés récemment de la façon dont un certain code peut être mal utilisé, et nous avons corrigé le problème. Ce que nous avons vu ici est l'activité d'ingénierie de logiciels commune – les gens écrivent du code pour obtenir une fonction souhaitée, mais peuvent ne pas être conscients des effets secondaires indésirables. »

Voici les conseils généraux que la Fondation a donné aux entreprises et particuliers utilisant Apaches Struts ainsi que toute autre bibliothèque de support open source ou fermée dans leurs produits et services logiciels :

1. Sachez quels bibliothèques et frameworks supportés sont utilisés dans vos produits logiciels et dans quelles versions. Suivez les annonces de sécurité qui affectent ces produits et versions ;
2. Établissez un processus pour déployer rapidement une version de sécurité de votre produit logiciel une fois que les frameworks et les bibliothèques supportés doivent être mis à jour pour des raisons de sécurité. Le mieux est de penser en termes d'heures ou de quelques jours, pas de semaines ou de mois. La plupart des infractions que nous rencontrons sont causées par l'échec de la mise à jour des composants logiciels qui sont connus pour être vulnérables pendant des mois ou même des années ;
3. Tout logiciel complexe comporte des failles. Ne créez pas votre politique de sécurité en supposant que le support des produits logiciels est impeccable, en particulier en termes de vulnérabilités de sécurité ;
4. Établissez des calques de sécurité. C'est une bonne pratique d'ingénierie logicielle pour avoir des couches sécurisées individuellement derrière une couche de présentation publique telle que la structure Apaches Struts. Une violation de la couche de présentation ne devrait jamais permettre l'accès à des ressources importantes ou même à toutes les ressources d'information de back-end ;
5. Établissez la surveillance des modèles d'accès inhabituels à vos ressources Web publiques. De nos jours, il existe beaucoup de produits open source et commerciaux disponibles pour détecter de tels modèles et donner des alertes. Apache recommande une telle surveillance comme bonne pratique d'exploitation pour les services critiques basés sur le Web.

Source : rapport Baird (au format PDF), communiqué d'Apache

Et vous ?

Qu'en pensez-vous ?

[Aeson]

C'est pas OpenSource ? La communauté n'a pas vu la faille ?

[DotNetMatt]

C'est risible, les mecs avaient quand meme un systeme avec les identifiants par defaut admin / admin

Voir ici : How Equifax got Hacked ou encore ici : Ayuda! (Help!) Equifax Has My Data!

[jpouly]

J'aime bien ces recommandations d'Apache :

3. Tout logiciel complexe comporte des failles. Ne créez pas votre politique de sécurité en supposant que le support des produits logiciels est impeccable, en particulier en termes de vulnérabilités de sécurité
4. Établissez des calques de sécurité. C'est une bonne pratique d'ingénierie logicielle pour avoir des couches sécurisées individuellement derrière une couche de présentation publique telle que la structure Apaches Struts. Une violation de la couche de présentation ne devrait jamais permettre l'accès à des ressources importantes ou même à toutes les ressources d'information de back-end

Avant de dire que tel ou tel composant a permit le piratage, il faudrait peut être commencer à isoler l'accès aux données du reste .
Et surtout ne pas croire que le piratage, c'est pour les autres .

[Stéphane le calme]

Après la violation massive de données chez Equifax, les institutions financières estiment que l'entreprise doit être responsable
du vol potentiel d'identité

Il y a quelques jours, Equifax, une agence de déclaration de crédit à la consommation aux États-Unis (considérée comme l'une des trois plus grandes agences de crédit américaines avec Experian et TransUnion), a confirmé avoir été victime d’une violation de données suite à une attaque qui a eu lieu le 29 juillet.

Au total, les données de près de 143 millions de clients américains ont été exposées. Les pirates ont eu accès, de mi-mai à juillet, à des informations comme les noms, les adresses, les dates de naissance, les numéros de sécurité sociale et du permis de conduire, autant d’informations qui peuvent servir à une usurpation d’identité.

Equifax a également précisé que les cybercriminels étaient parvenus à accéder aux numéros de carte de crédit de 209 000 citoyens américains. Ils ont également pu mettre la main sur plus de 180 000 dossiers de crédits.

L’entreprise a pointé du doigt une faille dans Apache Struts qui aurait été utilisée par des pirates.

Le lendemain, l’entreprise a annoncé que deux de ses cadres supérieurs ont donné leur démission :

« La société a annoncé que le DSI et le chef de la sécurité démissionnent. Mark Rohrwasser a été nommé DSI par intérim. Rohrwasser a rejoint Equifax en 2016 et a dirigé les opérations internationales de commerce d'Equifax depuis cette date. Russ Ayres a été nommé responsable de la sécurité par intérim. Ayres a récemment occupé le poste de vice-président de l'organisation informatique d'Equifax. Il rendait des comptes directement au DSI. Cette décision est effective immédiatement. »


Néanmoins, les rebondissements de cette affaire ne semblent pas avoir calmé la colère et la frustration de ses clients. Il faut rappeler en effet que ce type de données pourrait être utilisé pour le vol d'identité et pour créer de faux comptes. Aussi, l’entreprise s’est vue assignée en justice par une dizaine de recours collectifs par les clients, mais aussi les actionnaires. Cette fois-ci, une institution financière est entrée dans la danse et tente de récupérer de manière préventive les pertes causées par la brèche.


Summit Credit Union, basé à Madison, a rappelé dans sa plainte que les institutions financières devront supporter le coût de l'annulation et de la réinitialisation des cartes de crédit ainsi que le coût de toute charge frauduleuse. Elles perdront également « des profits parce que leurs membres ou leurs clients pourraient ne pas vouloir ou pouvoir utiliser leurs cartes de crédit suite à la violation. »

« Pour les institutions financières, qu’ils endossent la responsabilité financière du vol d'identité », a déclaré l'avocat de Summit, Stacey Slaughter, du cabinet d'avocats Robins Kaplan. Il a rappelé que le hack d’Equifax a exposé « Tous les composants qui permettraient à quelqu'un de créer une nouvelle identité. »

Equifax a déclaré faire de son mieux pour répondre à la violation et alerté les consommateurs aussi rapidement que possible. « Nous ne pouvons pas commenter les litiges en cours, mais nous restons concentrés sur l'aide à nos clients, ainsi que de leurs employés et consommateurs, pour naviguer dans cette situation », a déclaré Equifax dans un communiqué.

Après des infractions de cette amplitude, ces types de procès peuvent être très coûteux. Rappelons par exemple qu’après le hack de Target en 2013, le détaillant a accepté de payer 39,4 millions de dollars pour régler les créances des banques et des coopératives de crédit et a accepté de verser aux émetteurs de carte Visa jusqu'à 67 millions de dollars.

Pour le cas d’Equifax, le problème est encore plus complexe étant donné qu’il entretient des relations étroites avec les banques et des prêteurs hypothécaires. Ces institutions financières partagent des informations avec Equifax qui sont ensuite utilisées pour compiler des rapports de crédit sur des millions de consommateurs. Les banques achètent ces rapports pour les aider à déterminer à qui prêter de l'argent ou à accorder des crédits.

Source : Chicago Tribune

Et vous ?

Qu'en pensez-vous ?

Mise à jour du 26/09/2017 : Le PDG d'Equifax démissionne à la suite d'une violation massive des données

Un peu plus d’une semaine après la démission du directeur de l’information David Webb et de la responsable sécurité Susan Mauldin, c’est au tour du PDG d’Equifax Richard Smith d’être remercié. Il était à la tête de l’agence américaine d’évaluation de crédit depuis 2005 et siégeait au conseil d’administration. Paulino Barros, actuel responsable de l’activité en Asie-Pacifique, assurera l’intérim au poste de CEO.

« Le Conseil d'administration reste profondément préoccupé par le piratage et déterminé à faire face à ses conséquences », a souligné Mark Feidler, qui est provisoirement PCA de l’entreprise à titre non exécutif. « Au nom de l'ensemble du Conseil d'administration, j'adresse mes excuses les plus sincères. » Celui-ci précise que Richard Smith va continuer de conseiller Equifax sans être toutefois payé.

La société est toujours confrontée à une enquête de la Federal Trade Commission et à une audience devant le Congrès la semaine prochaine. Un porte-parole d'Equifax a déclaré que Smith devait encore témoigner devant le Comité bancaire du Sénat le 4 octobre.

Source : CNN

[Namica]

Tu joues avec la sécurité de tes clients au nom de la rentabilité au profit des actionnaires qui t’ont mis à ton poste et en vue de tes bonis d'exploitation ?
Ben oui, c'est un dilemme, mais là, tu as tout perdu, et pas seulement tes "incentives".
En outre, comment vas-tu retrouver du boulot après une telle tache ?

• Avis à tous les décideurs de budget, compétents ou non : on ne doit pas badiner avec la sécurité, c'est votre siège éjectable.
• Avis à tous les chefs de projet, compétents ou non : ben, même remarque.
• Avis à tous les maillons de la chaine : devinez quoi ?

Euh, à qui confiez-vous vos économies ? A des sociétés (Cie d'assurances, Banques, Bourse, ... ) qui investissent dans des entreprises et les pressent comme un citron pour maximiser leur rentabilité court terme ?
Tout comme vous avez choisi votre placement pour sa rentabilité et son rendement en vue de votre retraite ?

Je pense que nous sommes gouvernés par les fonds de pensions, lesquels vu la concurrence, mettent une néfaste pression sur une rentabilité à court terme des entreprises.
L'ironie de l'affaire c'est que si nous ne sommes pas d'accord avec cette attitude, quel fond de pension choisir/privilégier pour placer notre épargne ?
(pour ceux qui peuvent épargner un petit peu, of course)
J'ai bien quelques idées, mais je préfère lancer d'abord le débat avant de les exposer.

[cdubet]

le pire c est qu une fois la fuite connue en interne, les dirigeants se sont empresses de revendre leurs actions vant que le grand public le sache

[cdubet]

faut pas s inquieter pour eux, avec ce qu ils ont touche, ils n ont plus besoin de travailler.

Le dilemme est plutot tu economise sur la securité, tu gagnes beaucoup mais tu as une chance non nulle de sauter si scandale non etouffé ou tu ne tires pas sur la corde et tu ne gagnes rien (car on mettra a ta place un gars qui lui n aura pas tes scrupules)

PS: a niveau des dirigeants, combien sont issus de fonction technique ou ont une compréhension minimale des problemes ?

[Jon Shannow]

La Société Générale pourrait peut-être leur revendre Jérôme Kerviel, c'est un concept qui a pas mal marché pour eux...

[Stéphane le calme]

Le piratage massif de données d'Equifax ne lui a coûté pour l'instant que 87,5 millions de dollars,
l'entreprise n'a perdu aucun de ses gros clients

En septembre dernier, Equifax, une agence de déclaration de crédit à la consommation aux États-Unis (considérée comme l’une des trois plus grandes agences de crédit américaines avec Experian et TransUnion), a confirmé avoir été victime d’un accès non autorisé à sa base de données contenant 143 millions de ses clients américains. Un incident dont les répercussions sont à relativiser.

En effet, durant une conférence avec les investisseurs pour donner des résultats financiers du troisième trimestre de 2017, les dirigeants d'Equifax ont déclaré que la société avait engagé des dépenses de 87,5 millions de dollars liées à cet incident. Dans le détail, l’entreprise a dépensé 55,5 millions de dollars en coûts de produits, 17,1 millions de dollars en réponse aux incidents et autres honoraires professionnels et 14,9 millions de dollars en soutien à la clientèle.

La direction d'Equifax a également déclaré qu’elle s'attend à des coûts supplémentaires générés par cette brèche dans une fourchette comprise entre 56 et 110 millions de dollars dans les mois à venir. Ces coûts représentent le « passif éventuel » qui correspond aux obligations potentielles de remboursement à des tiers de dégâts matériels ou aux personnes en cas de survenue d'un évènement impliquant la responsabilité de l'entité, jugée peu probable, mais dont les conséquences seraient graves en cas de réalisation. Dans le cas d’espèce, l’entreprise a évoqué la surveillance gratuite du crédit et la protection contre le vol d'identité à l'intention de tous les consommateurs américains en un geste de bonne volonté.

Cela n’inclut donc pas les dépenses afférant aux recours collectifs dont Equifax fait l’objet dans de nombreux États. En tout, l’entreprise fait face à plus de 240 recours collectifs. Cette semaine, un groupe de consommateurs a déposé 180 000 signatures au siège social d'Equifax à Atlanta dans le cadre d'une pétition visant à forcer l'entreprise à fournir de meilleures protections aux utilisateurs pour les utilisateurs touchés par la violation de données.

Les coûts fournis par Equifax sont une estimation des dépenses nécessaires pour fournir ce service à ceux qui se sont inscrits ou qui s'inscriront avant la date limite du 31 janvier 2018. Pour combler ce déficit, le PDG par intérim Paulino Barros a annoncé que les cadres ne recevront aucun bonus pour 2017 « en raison de l'incident de cybersécurité. »

« Nous n’avons pas perdu de contrats », a déclaré Barros durant cet entretien. Bien qu'aucun client majeur n'ait rompu les liens avec le bureau de crédit, certains ont retardé de nouveaux contrats jusqu'à ce qu'Equifax prouve qu'ils en ont fait suffisamment pour consolider leur cybersécurité, une situation qui pourrait nuire aux ventes et aux bénéfices des prochains trimestres, a commenté Barros.

Equifax a également dépensé jusqu'à 75 millions de dollars pour moderniser ses services informatiques, et l'investissement dans la cybersécurité pourrait également toucher les résultats du prochain trimestre, a déclaré John Gamble, directeur financier de la société.

Même cela ne suffirait peut-être pas pour empêcher de futurs hacks, a averti l'entreprise : « Nous ne pouvons pas garantir que toutes les causes potentielles de l'incident ont été identifiées et corrigées et ne se reproduiront plus ». Rappelons que, selon les enquêtes de l’entreprise, ce piratage a été possible à cause d’une faille détectée dans Struts, le Framework web utilisé par l’entreprise pour développer son application web. Au vu de ce commentaire, il apparaît que l’entreprise réalise que d’autres vecteurs d’attaques sont possibles.

« À court terme, la direction devra convaincre les clients sceptiques et les nouvelles perspectives commerciales que ses défenses en matière de cybersécurité se soient renforcées pour convertir les reports de contrats en bénéfices et flux de trésorerie réels », a déclaré David Togut, analyste chez Evercore ISI.

Source : NYP, Consumer Union (pétition avec les 180 000 signatures), Bloomberg, Equifax résultats financiers (en PDF)

Voir aussi :

Les entreprises victimes de piratage devraient-elles être autorisées à faire de même en légitime défense ? Non, selon l'ancien directeur de la NSA

[marsupial]

87,5 millions de dollars, c'est à la fois beaucoup et très peu. Tout dépend de leur utilisation. Et à ce que j'en vois de la situation, cela va sûrement faire juste.
Mais bon ils ont 240 recours collectifs à gérera.

Édit : ils partent d'aussi loin que France 5, je crois, qui depuis son hack de 2015, remet une couche chaque année, mois, jours de sécurité sans voir le bout du tunnel. Et cela fait trop de boulot et de frais.

[Volgaan]

Rappelons que, selon les enquêtes de l’entreprise, ce piratage a été possible à cause d’une faille détectée dans Struts, le Framework web utilisé par l’entreprise pour développer son application web.

Parce que Struts n'avait pas été mis à jour alors que le patch qui corrigeait cette faille était disponible depuis mars. C'est une précision importante

[Bill Fassinou]

Cybersécurité : comment l'attaque contre Equifax en 2017 a-t-elle pu être possible ?
Voici l'état des lieux de la cybersécurité après cette attaque

La cybersécurité est l'ensemble des dispositifs juridiques, technologiques et humains qui peuvent être utilisés pour protéger les personnes et les actifs informatiques matériels et immatériels. Elle existe pour contrecarrer les différentes attaques en provenance de l'internet (la cybermenace). Les pirates s'en prennent aussi bien aux particuliers qu'aux entreprises pour leur voler des données personnelles ou de l'argent. Equifax, une des plus grandes agences de déclaration de crédit à la consommation aux États-Unis a été victime d’une violation de données suite à une attaque qui a eu lieu le 29 juillet 2017. Plusieurs données ont été dérobées : 145,5 millions de numéros de sécurité sociale, environ 17,6 millions de numéros de permis de conduire, 20,3 millions de numéros de téléphone, et 1,8 million d'adresses e-mail.

Malgré toutes les mesures sécuritaires que prennent les entreprises, les pirates parviennent toujours à trouver le moyen de les contourner. Cela est parfois dû au manque de vigilance des entreprises dans l'application des correctifs sécuritaires dans leurs installations. Mais la cybermenace persistante vient aussi de l'agilité des hackers à se fondre dans la masse des employés de l'entreprise victime. Chris Morales, responsable de l'analyse de sécurité à Vectra explique que « chaque entreprise a un profil de comportement de réseau et d'utilisateur qui se rapportent à des modèles commerciaux spécifiques ». Il précise que « les pirates vont imiter et se fondre dans ces comportements, ce qui les rend difficiles à identifier ».

Les entreprises spécialisées dans les services financiers investissent le plus dans la cybersécurité. Elles disposent d'importants moyens financiers et humains pour assurer la sécurité des données financières, mais la cybermenace constitue une réalité à laquelle elles font face au quotidien. Aux grands remèdes, les grands maux, pourrait-on dire. Selon un rapport de Vectra sur les services financiers, « la Bank of America investit plus de 600 millions de dollars dans la cybersécurité par an et a déclaré qu'elle a un budget illimité pour se battre contre les cyberattaques et JPMorgan Chase dépense 500 millions de dollars par année pour la cybersécurité ».

Comment les pirates parviennent-ils à mener une cyberattaque malgré les mesures sécuritaires ?

Une étude réalisée par Vectra indique que dans le cas d'Equifax par exemple, « les pirates ont évité d'utiliser certains outils de piratage qui les auraient exposé à l'équipe de sécurité d'Equifax. Cependant, l'un des outils qu'ils utilisent leur a permis de construire des tunnels cachés de « commande et contrôle » dans Equifax ». Le rapport indique que cette attaque s'est faite en quatre étapes. D'abord, « le pirate installe plusieurs coquilles web, chacune avec une adresse web différente, ce qui a créé plusieurs tunnels cachés. Si l'un était découvert, les autres pourraient continuer à fonctionner ». Cette phase d'attaque est connue sous le nom de « commande et contrôle ».

« Une fois à l'intérieur du réseau, les pirates ont le temps de personnaliser les outils de piratage pour exploiter efficacement les logiciels d'Equifax, les requêtes et analyser des dizaines de bases de données pour déterminer lesquelles contenaient les données les plus précieuses ». Cette phase d'attaque est appelée la « reconnaissance ». Ensuite, « les pirates ont utilisé des outils de tunnellisation spéciaux pour échapper aux pare-feu, analysant et piratant les bases de données l'une après l'autre tout en stockant des données dans les propres systèmes de stockage de l'entreprise » : c'est la phase d'attaque connue sous le nom de « mouvement latéral ». Enfin, pour la dernière phase d'attaque connue sous le nom d' « exfiltration de données », « les pirates ont collecté une mine de données tellement volumineuse qu'il a fallu les diviser en de petits stocks pour éviter le déclenchement des systèmes de détection des anomalies et de prévention des pertes de données ».

Qu'en est-il de la cybersécurité après l'attaque d'Equifax ?

Vectra a procédé à l'analyse de l'industrie financière pendant six mois après l'attaque d'Equifax. Les résultats sont toujours aussi inquiétants. Les mesures de cybersécurité sont bien renforcées davantage, mais la menace demeure. Sur 10 000 équipements analysés, Vectra a détecté beaucoup plus de tunnels cachés de « commande et contrôle » dans les services financiers que dans tous les autres services réunis. Il y a aussi deux fois plus de tunnels cachés d'exfiltration de données. Du mois d'août 2017 à janvier 2018, les tunnels HTTP cachés sont passés de 7 pour 10 000 appareils à 16 dans les services financiers. Ce qui frappe plus à l’œil, selon Morales, est « le nombre important de tunnels cachés que les pirates utilisent pour échapper aux contrôles d'accès, aux pare-feu et aux systèmes de détection d'intrusion ».

Ce qui compromet la cybersécurité dans l'utilisation des tunnels cachés, selon le rapport, est qu'« ils sont difficiles à détecter, car les communications sont dissimulées dans plusieurs connexions qui utilisent des protocoles normaux généralement autorisés. Par exemple, les communications peuvent être incorporées sous forme de texte dans les requêtes HTTP-GET, ainsi que dans les en-têtes, les cookies et d'autres champs. Les demandes et les réponses sont masquées parmi les messages dans le protocole autorisé ».

Télécharger le rapport de vectra sur les services financiers

Source : Vectra

Et vous ?

Que pensez-vous de la cybermenace qui devient de plus en plus inquiétante ?
Que peuvent faire les entreprises pour lutter efficacement contre ces attaques ?

Voir aussi

Quels sont les scandales ou ratés dans l'industrie de la technologie qui vous ont le plus marqué en 2017 ? Petit tour d'horizon de l'année écoulée

Sécurité informatique : 26 % des entreprises manquent de temps pour appliquer les correctifs selon une enquête réalisée par Outpost24

Les données de 143 millions d'Américains ont été potentiellement exposées à un piratage d'une société de renseignement de crédit

Le piratage massif de données d'Equifax ne lui a coûté pour l'instant que 87,5 millions de dollars, l'entreprise n'a perdu aucun de ses gros clients

[Christian Olivier]

Equifax pourrait s’en tirer avec une amende de 700 M$ après la violation de données de 2017
Et payer seulement 4 $ à chaque victime

En septembre 2017, Equifax, une agence de déclaration de crédit à la consommation aux États-Unis, qui était considérée comme l’une des trois plus grandes agences de crédit américaines avec Experian et TransUnion, a confirmé avoir été victime d’une violation de données suite à une attaque. Lors de cet incident, les données de près de 147 millions clients américains du groupe avaient été exposées. Les pirates avaient eu accès, de la mi-mai à juillet de la même année, à des informations comme les noms, les adresses, les dates de naissance, les numéros de sécurité sociale et du permis de conduire, autant d’informations qui peuvent servir à une usurpation d’identité. Equifax avait aussi précisé que les cybercriminels étaient parvenus à accéder aux numéros de carte de crédit de 209 000 citoyens américains et avaient mis la main sur plus de 180 000 dossiers de crédits.

Suite à cet incident, Equifax s’est vue assignée en justice par ses clients et actionnaires, mais aussi par des institutions financières alléguant qu’elle n’avait pas réussi à protéger la quantité massive de données personnelles stockées sur son réseau. En novembre dernier, l’ONG Privacy International a porté plainte contre sept entreprises de l’industrie technologique - y compris Equifax - auprès des autorités européennes pour violation du RGPD. L’ONG reprochait à ces entreprises la violation des principes de protection des données de l’article cinq du RGPD, les difficultés pour les utilisateurs à exercer leurs droits sur les données protégées contre ces sociétés et l’inexistence d’une base légale autorisant le traitement des données des utilisateurs par ces sites.

Dans le cadre du règlement de cette affaire, de nouveaux rapports indiquent qu’Equifax a accepté un arrangement avec les régulateurs US - incluant la Federal Trade Commission, le Consumer Financial Protection Bureau et le Department of Financial Services de New York - et les procureurs généraux. Au total, la société devra débourser entre 575 et 700 millions de dollars pour les victimes, les États et les organismes de réglementation américains. L’entreprise a accepté de verser 175 millions de dollars à 48 États, au District de Columbia et à Porto Rico ainsi que 100 millions de dollars au CFPB. Elle devra également constituer un fonds de 300 millions de dollars, extensible jusqu’à 425 millions de dollars, pour fournir aux consommateurs touchés des services de surveillance du crédit et les indemniser.

Par ailleurs, l’entreprise devra prendre des mesures supplémentaires visant à réduire l’impact dans l’éventualité d’un nouveau vol de données et il y aura des évaluations « régulières » assurées par une tierce partie pour vérifier que ses protections sont appropriées. À compter de janvier 2020, elle aura l’obligation de fournir à ses clients américains six rapports de crédit gratuits chaque année pendant sept ans, en plus du rapport de crédit annuel gratuit que toutes les agences américaines d’évaluation de crédit garantissent déjà.

L’entreprise a apporté de nombreux changements dans le but d’améliorer ses pratiques en matière de sécurité. Elle assure désormais le chiffrement des renseignements personnels, elle a mis en œuvre des méthodes de vérification de la sécurité plus strictes et commencé à effectuer des contrôles et des tests réguliers, entre autres changements. Un tribunal doit encore valider cet arrangement qui, s’il venait à être approuvé, représenterait le plus important règlement de l’histoire dans le cadre d’une affaire d’atteinte à la protection des données, selon le bureau du procureur général de l’État de New York.

Suite à cette annonce, Joe Simons, le président de la FTC, a déclaré que « les sociétés qui tirent profit des renseignements personnels ont une responsabilité supplémentaire de protéger et de sécuriser ces données ». Simons a ajouté : « Equifax n’a pas pris les mesures de base qui auraient pu prévenir la brèche qui a touché environ 147 millions de consommateurs. Ce règlement exige que l’entreprise prenne des mesures pour améliorer la sécurité de ses données à l’avenir, et fera en sorte que les consommateurs lésés par cette violation puissent recevoir de l’aide pour se protéger contre le vol d’identité et la fraude ».

Mark Begor, PDG d’Equifax, a pour sa part estimé que « ce règlement global est une étape positive pour les consommateurs américains et Equifax ». La compagnie souligne sur son site Web dédié au règlement : « Equifax nie avoir commis un acte répréhensible, et aucun jugement ou constatation d’acte répréhensible n’a été fait ».

Bien que les montants annoncés puissent sembler importants, on craint que cette indemnisation ne soit en réalité insignifiante comparée à l’impact sur les 147 millions de personnes touchées. Comme l’a expliqué Fast Company, les 575 millions de dollars annoncés au minimum ne représentent que 4 USD de dédommagement par victime, ce qui ne suffirait même pas à couvrir les dommages si un fraudeur exploitait des données sensibles comme les numéros de sécurité sociale et de carte de crédit.

Le représentant du New Jersey, Frank Pallone, a déclaré que la figure « montre les limites » de la FTC à exiger des sanctions et des compensations sévères. Même si Equifax est peut-être mieux sécurisée qu’elle ne l’était en 2017, elle n’accepte pas nécessairement toutes les conséquences de ses actions passées. Dans ses résultats financiers du premier trimestre, Equifax a annoncé qu’elle avait mis de côté 690 millions de dollars en prévision du règlement de cette affaire, un chiffre qui reste malgré tout inférieur au revenu global de la société pour ce trimestre. Les revenus de l’entreprise pour 2018 s’établissaient à 3,41 milliards de dollars, et bien que le cours de l’action ait chuté immédiatement après l’incident de sécurité en 2017, il a rebondi depuis.

Source : Equifax, FTC

Et vous ?

Qu’en pensez-vous ?

Voir aussi

Cybersécurité : comment l'attaque contre Equifax en 2017 a-t-elle pu être possible ? Un état des lieux de la cybersécurité après cette attaque
Les vulnérabilités de la chaîne logistique des logiciels libres ont doublé en 1 an, cependant, leur utilisation a augmenté de 120 % selon un rapport
L'entreprise US de marketing Exactis perd le contrôle de sa base de données sur Internet, 340 millions de personnes ont été exposées

[Stéphane le calme]

Equifax s'est servi du mot « admin » comme identifiant et mot de passe pour accéder à des informations sensibles,
avant le piratage massif de 2017

C'est dans un communiqué de presse en septembre 2017 qu'Equifax, une agence de déclaration de crédit à la consommation aux États-Unis (considérée comme l'une des trois plus grandes agences de crédit américaines avec Experian et TransUnion), a confirmé avoir été victime d’une violation de données suite à une attaque qui a eu lieu le 29 juillet de cette année.

Au total, les données de près de 143 millions de clients américains ont été exposées. Les pirates ont eu accès, de mi-mai à juillet, à des informations comme les noms, les adresses, les dates de naissance, les numéros de sécurité sociale et le permis de conduire, autant d’informations qui peuvent servir à une usurpation d’identité.

Equifax a également précisé que les cybercriminels étaient parvenus à accéder aux numéros de carte de crédit de 209 000 citoyens américains. Ils ont également pu mettre la main sur plus de 180 000 dossiers de crédits.

Dans un communiqué, l’entreprise a annoncé le même mois de sa déclaration publique que deux de ses cadres supérieurs ont donné leur démission :

« La société a annoncé que le DSI et le chef de la sécurité démissionnent. Mark Rohrwasser a été nommé DSI par intérim. Rohrwasser a rejoint Equifax en 2016 et a dirigé les opérations internationales de commerce d'Equifax depuis cette date. Russ Ayres a été nommé responsable de la sécurité par intérim. Ayres a récemment occupé le poste de vice-président de l'organisation informatique d'Equifax. Il rendait des comptes directement au DSI. Cette décision est effective immédiatement. »

La veille, Equifax avait pointé du doigt une faille dans Apache Struts qui aurait été utilisée par des pirates pour accéder aux informations de 143 millions de ses clients américains

Une étude réalisée par Vectra a indiqué que, dans le cas d'Equifax, « les pirates ont évité d'utiliser certains outils de piratage qui les auraient exposés à l'équipe de sécurité d'Equifax. Cependant, l'un des outils qu'ils utilisent leur a permis de construire des tunnels cachés de commande et contrôle dans Equifax ». Le rapport indique que cette attaque s'est faite en quatre étapes. D'abord, « le pirate installe plusieurs coquilles web, chacune avec une adresse web différente, ce qui a créé plusieurs tunnels cachés. Si l'un était découvert, les autres pourraient continuer à fonctionner ».

« Une fois à l'intérieur du réseau, les pirates ont le temps de personnaliser les outils de piratage pour exploiter efficacement les logiciels d'Equifax, les requêtes et analyser des dizaines de bases de données pour déterminer lesquelles contenaient les données les plus précieuses ». Cette phase d'attaque est appelée la « reconnaissance ». Ensuite, « les pirates ont utilisé des outils spéciaux pour échapper aux pare-feu, analysant et piratant les bases de données l'une après l'autre tout en stockant des données dans les propres systèmes de stockage de l'entreprise » : c'est la phase d'attaque connue sous le nom de « mouvement latéral ». Enfin, pour la dernière phase d'attaque connue sous le nom « d'exfiltration de données », « les pirates ont collecté une mine de données tellement volumineuse qu'il a fallu les diviser en de petits stocks pour éviter le déclenchement des systèmes de détection des anomalies et de prévention des pertes de données ».

« admin » a été utilisé comme mot de passe et identifiant

Equifax a utilisé le mot « admin » comme mot de passe et nom d'utilisateur pour un portail contenant des informations sensibles, selon un recours collectif intenté devant un tribunal fédéral dans le Northern District of Georgia. « Equifax a utilisé le nom d’utilisateur "admin" et le mot de passe "admin" pour protéger un portail utilisé pour gérer les différends relatifs au crédit, un mot de passe qui "est un moyen infaillible de se faire pirater" », indique la plainte.

La poursuite note également qu'Equifax a admis avoir utilisé des serveurs non chiffrés pour stocker les informations personnelles sensibles et a noté que ces informations étaient accessibles au public.

Selon la plainte, quand Equifax, l'une des trois plus grandes agences d'évaluation du crédit à la consommation, a chiffré les données, « elle a laissé les clés pour déverrouiller le chiffrement sur les mêmes serveurs ouverts au public, facilitant ainsi le retrait du chiffrement des données ».

Le recours collectif a regroupé 373 actions en justice antérieures. Contrairement à d’autres poursuites contre Equifax, celles-ci ne proviennent pas de consommateurs lésés, mais plutôt d’actionnaires alléguant que la société n’a pas divulgué de manière adéquate les risques ou ses pratiques de sécurité.

La poursuite a été intentée par des personnes qui ont acheté des actions d'Equifax entre le 25 février 2016 et le 15 septembre 2017. En septembre 2017, Equifax a annoncé une violation de données exposant les informations personnelles de 147 millions de personnes. La société a conclu un accord de 425 millions de dollars avec la FTC en septembre 2019.

Dans leur plainte, les actionnaires réclament des dommages du fait que leurs investissements ont perdu de la valeur en raison de « plusieurs déclarations fausses ou trompeuses et d'omissions concernant les informations personnelles sensibles détenues par Equifax, de la vulnérabilité de ses systèmes internes à la cyberattaque et de sa conformité aux lois sur la protection des données et aux meilleures pratiques en matière de cybersécurité ».

En mars 2018, Equifax a déposé une requête pour que cette affaire soit abandonnée.

« La plainte du demandeur est dépourvue de faits, ce qui suggère même de manière plausible que les défendeurs étaient au courant de toute information contredisant leurs déclarations publiques au moment où elles ont été faites », peut-on lire dans la requête. « Au lieu de cela, les revendications du demandeur reposent presque entièrement sur la notion non étayée et invraisemblable selon laquelle les défendeurs ont omis sciemment et délibérément de corriger la vulnérabilité logicielle en cause dans l'incident de cybersécurité ».

La requête en irrecevabilité a été rejetée par le tribunal en janvier 2019.

« La cybersécurité d’Equifax était dangereusement déficiente », a déclaré le tribunal. « La compagnie s’appuyait sur une seule personne pour mettre en œuvre manuellement son processus de correction sur l’ensemble de son réseau ». Le recours collectif se poursuit.

Source : plainte, Forbes

Voir aussi :

Les attaques de malware visant des MdP sont à la hausse selon les statistiques de Kaspersky, près d'un million d'utilisateurs concernés au 1S19
Microsoft lance la préversion publique du support de l'identification sans mot de passe à Azure AD, grâce aux clés de sécurité FIDO2
Un quart des principaux CMS, dont WordPress, utilisent la fonction obsolète MD5 comme schéma de hachage de mot de passe par défaut
Avec les normes d'authentification FIDO2 intégrées à Android 7.0+, les utilisateurs pourront s'affranchir des MdP sur leurs applications et sites