+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    2 971
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 2 971
    Points : 66 251
    Points
    66 251

    Par défaut Les données de 143 millions d'Américains ont été potentiellement exposées à un piratage

    Les données de 143 millions d'Américains ont été potentiellement exposées à un piratage,
    d'une société de renseignement de crédit

    Dans un communiqué de presse, Equifax, une agence de déclaration de crédit à la consommation aux États-Unis (considérée comme l'une des trois plus grandes agences de crédit américaines avec Experian et TransUnion), a confirmé avoir été victime d’une violation de données suite à une attaque qui a eu lieu le 29 juillet.

    Pour rappel, les sociétés de renseignement de crédit travaillent à réunir des informations sur les personnes contractant un emprunt et émettent à leur propos un « credit score » censé mesurer leur solvabilité. Ce type de société collecte donc de nombreuses données personnelles et financières sur ses clients afin de mesurer leur capacité à rembourser leurs dettes.

    Au total, les données de près de 143 millions de clients américains ont été exposées. Les pirates ont eu accès, de mi-mai à juillet, à des informations comme les noms, les adresses, les dates de naissance, les numéros de sécurité sociale et le permis de conduire, autant d’informations qui peuvent servir à une usurpation d’identité.

    Equifax a également précisé que les cybercriminels étaient parvenus à accéder aux numéros de carte de crédit de 209 000 citoyens américains. Ils ont également pu mettre la main sur plus de 180 000 dossiers de crédits.

    L’agence a été sous le feu de la critique notamment par rapport à la façon dont elle a géré cet incident. Tout d’abord, l’agence, qui dispose d’un chiffre d’affaires de 2,7 milliards de dollars, a créé un site Web qui s’appuie sur un simple WordPress sur un hébergement standard avec le certificat gratuit SSL pour proposer aux clients de vérifier si votre compte a été piraté. En somme, un site qui n’est pas sécurisé et vous demande votre nom et votre numéro de sécurité sociale.

    Le comble est que pour la plupart des informations que vous entrez, le site va vous dire : « Merci ! Sur la base des informations que vous avez fournies, nous pensons que vos informations personnelles auraient pu être impactées par cet incident. »

    En outre, Equifax a annoncé avoir recruté une firme de sécurité informatique indépendante pour gérer la brèche : il s’agit de Mandiant, qui a été racheté par FireEye. L’annonce officielle de la brèche d’Equifax date de quelques jours, mais certains supposent qu’il y avait des personnes qui la connaissaient et qui ont voulu en profiter.

    Cette hypothèse a été formulée notamment à cause du nom de domaine appelé equihax qui a été enregistré le 5 septembre 2017. La personne qui l’a enregistré s’appelle Brandan Schondorfer. Une simple recherche Google montre que Brandan Schondorfer travaille pour Mandiant. En clair, un employé d’une firme de sécurité, censé gérer l’une des pires brèches de sécurité dans l’histoire, a créé un site qui s’apparente à une tentative de Phishing.

    Néanmoins, il se pourrait que Mandiant ait enregistré ce nom de domaine pour couper l’herbe sous le pied des cybercriminels et éviter qu’il ne tombe entre leurs mains. Néanmoins, il faut rappeler que pour cette technique, les cybercriminels peuvent utiliser des dizaines de noms de domaine à la place. Il serait donc plus intéressant de tous les réserver pour renforcer la crédibilité de cette hypothèse.

    Au passage, notons que pendant les deux mois qui ont précédé cette annonce, les dirigeants auraient vendu massivement leurs actions qui ont d’ailleurs perdu 19 % de leur valeur dans les échanges d‘après-bourse juste après ce communiqué.

    Le groupe a ouvert une enquête et coopère avec les autorités fédérales américaines. Le FBI suit la situation, a confirmé une porte-parole de l‘agence de renseignement intérieur.

    Source : Reuters, Housenia

    Et vous ?

    Qu'en pensez-vous ?

    Mise à jour du 16/09/2017 : Le DSI d'Equifax démissionne à la suite d'une violation massive des données

    Dans un communiqué, l’entreprise a annoncé ce vendredi que deux de ses cadres supérieurs ont donné leur démission :

    « La société a annoncé que le DSI et le chef de la sécurité démissionnent. Mark Rohrwasser a été nommé DSI par intérim. Rohrwasser a rejoint Equifax en 2016 et a dirigé les opérations internationales de commerce d'Equifax depuis cette date. Russ Ayres a été nommé responsable de la sécurité par intérim. Ayres a récemment occupé le poste de vice-président de l'organisation informatique d'Equifax. Il rendait des comptes directement au DSI. Cette décision est effective immédiatement. »

    La veille, Equifax avait pointé du doigt une faille dans Apache Struts qui aurait été utilisée par des pirates pour accéder aux informations de 143 millions de ses clients américains

    Source : Equifax
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Modérateur
    Avatar de DotNetMatt
    Homme Profil pro
    CTO
    Inscrit en
    février 2010
    Messages
    3 295
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : CTO
    Secteur : Finance

    Informations forums :
    Inscription : février 2010
    Messages : 3 295
    Points : 8 756
    Points
    8 756
    Billets dans le blog
    3

    Par défaut

    C'est dingue. Surtout que la note d'Equifax a ete rabaissee a 'F' pas longtemps avant l'attaque. A cela il faut rajouter que des dirigeants d'Equifax dont le CFO ont revendu des actions juste avant que la faille ne soit communiquee au grand public... Sans compter leur communication plus que pitoyable.

    D'apres pas mal d'articles des enquetes ont commence donc on peut esperer une class action bientot. Pour ma part, aucun article ne releve la presence de donnees de residents Francais mais le site qui a ete mis en place pour verifier cela indiquait que je pouvais avoir ete touche, sans en dire plus...

    Il est quand meme hallucinant de voir qu'une societe faisant partie des "Big Three" (les 3 bureau de credit) puissent continuer a operer avec des donnees aussi sensibles et avec une note 'F' en securite.
    Less Is More
    Pensez à utiliser les boutons , et les balises code
    Desole pour l'absence d'accents, clavier US oblige

  3. #3
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    2 971
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 2 971
    Points : 66 251
    Points
    66 251

    Par défaut Equifax pointe du doigt une faille dans Apache Struts qui aurait été utilisée par des pirates

    Equifax pointe du doigt une faille dans Apache Struts qui aurait été utilisée par des pirates,
    pour accéder aux informations de 143 millions de ses clients américains

    Dans un communiqué de presse, Equifax, une agence de déclaration de crédit à la consommation aux États-Unis (considérée comme l'une des trois plus grandes agences de crédit américaines avec Experian et TransUnion), a confirmé avoir été victime d’une violation de données suite à une attaque qui a eu lieu le 29 juillet.

    La société a pointé du doigt une faille dans le logiciel qui exécute ses bases de données en ligne et qui aurait permis aux pirates d’accéder aux informations personnelles d'environ 143 millions d'Américains. Les pirates ont eu accès, de mi-mai à juillet, à des informations comme les noms, les adresses, les dates de naissance, les numéros de sécurité sociale et le permis de conduire, autant d’informations qui peuvent servir à une usurpation d’identité.

    Equifax a également précisé que les cybercriminels étaient parvenus à accéder aux numéros de carte de crédit de 209 000 citoyens américains. Ils ont également pu mettre la main sur plus de 180 000 dossiers de crédits.

    Jeffrey Meuler, analyste chez RW Baird & Co., a indiqué que le logiciel open source Apache STRUTS était mis en cause.

    STRUTS est un système largement utilisé (par environ 65 % des sociétés figurant dans la liste Fortune 100 parmi lesquelles Lockheed Martin, Citigroup, Vodafone, Virgin Atlantic, Reader's Digest, Office Depot et Showtime).

    Dans un communiqué sur son blog, Apache a déclaré ceci :

    « Nous sommes navrés d'entendre les nouvelles selon lesquelles Equifax a souffert d'un incident de sécurité et de divulgation d'informations qui a été potentiellement exploité en s’appuyant sur une vulnérabilité dans Apache Struts Web Framework. À ce moment-là, il n'est pas évident de savoir quelle vulnérabilité de Struts aurait été utilisée. Dans un article en ligne publié sur Quartz.com, il a été supposé que la violation pourrait être liée à CVE-2017-9805, qui a été annoncée publiquement le 04-09-2017 ainsi que les nouvelles versions du logiciel Struts Framework pour corriger cette vulnérabilité parmi d'autres. Cependant, la violation de sécurité a été détectée en juillet, ce qui signifie que les attaquants ont utilisé une vulnérabilité annoncée précédemment sur un serveur Equifax non partagé ou alors qu’ils ont exploité une vulnérabilité inconnue à ce moment. Si la violation a été causée par l'exploitation de CVE-2017-9805, elle aurait été une exploitation de type zero day à ce moment-là. L'article indique également que la vulnérabilité CVE-2017-9805 existe depuis neuf ans maintenant.

    « Nous, en tant que Apache Struts PMC, voulons préciser que l'équipe de développement s'efforce énormément de sécuriser ainsi que de renforcer le logiciel que nous produisons. Nous nous employons à résoudre les problèmes chaque fois qu’ils sont portés à notre attention. Conformément aux règles de sécurité d'Apache, une fois que nous nous sommes informés d'un éventuel problème de sécurité, nous travaillons en privé avec l'entité déclarante pour reproduire et résoudre le problème et déployer une nouvelle version sécurisée face à la vulnérabilité découverte. Nous publions la description du problème et comment le réparer. Même si le code d'exploitation est connu de nous, nous essayons de retenir cette information pendant plusieurs semaines pour donner aux utilisateurs de Struts Framework le plus de temps possible pour réparer leurs produits logiciels avant que les exploits ne soient diffusés. Cependant, étant donné que la détection et l'exploitation de la vulnérabilité sont devenues une entreprise professionnelle, il est toujours probable que des attaques se produiront avant même que nous divulguions complètement les vecteurs d'attaque, par ingénierie inverse du code qui corrige la vulnérabilité en question ou en cours d'analyse pour les vulnérabilités inconnues.

    « En ce qui concerne l'affirmation selon laquelle, en particulier, CVE-2017-9805 est une faille de sécurité de neuf ans, il faut comprendre qu'il existe une énorme différence entre la détection d'un défaut après neuf ans et la connaissance d'un défaut depuis plusieurs années. Si ce dernier était le cas, l'équipe aurait eu du mal à fournir une bonne réponse expliquant pourquoi ils ne l'ont pas corrigé plus tôt. Mais ce n'était pas le cas ici – nous avons été informés récemment de la façon dont un certain code peut être mal utilisé, et nous avons corrigé le problème. Ce que nous avons vu ici est l'activité d'ingénierie de logiciels commune – les gens écrivent du code pour obtenir une fonction souhaitée, mais peuvent ne pas être conscients des effets secondaires indésirables. »

    Voici les conseils généraux que la Fondation a donné aux entreprises et particuliers utilisant Apaches Struts ainsi que toute autre bibliothèque de support open source ou fermée dans leurs produits et services logiciels :
    1. Sachez quels bibliothèques et frameworks supportés sont utilisés dans vos produits logiciels et dans quelles versions. Suivez les annonces de sécurité qui affectent ces produits et versions ;
    2. Établissez un processus pour déployer rapidement une version de sécurité de votre produit logiciel une fois que les frameworks et les bibliothèques supportés doivent être mis à jour pour des raisons de sécurité. Le mieux est de penser en termes d'heures ou de quelques jours, pas de semaines ou de mois. La plupart des infractions que nous rencontrons sont causées par l'échec de la mise à jour des composants logiciels qui sont connus pour être vulnérables pendant des mois ou même des années ;
    3. Tout logiciel complexe comporte des failles. Ne créez pas votre politique de sécurité en supposant que le support des produits logiciels est impeccable, en particulier en termes de vulnérabilités de sécurité ;
    4. Établissez des calques de sécurité. C'est une bonne pratique d'ingénierie logicielle pour avoir des couches sécurisées individuellement derrière une couche de présentation publique telle que la structure Apaches Struts. Une violation de la couche de présentation ne devrait jamais permettre l'accès à des ressources importantes ou même à toutes les ressources d'information de back-end ;
    5. Établissez la surveillance des modèles d'accès inhabituels à vos ressources Web publiques. De nos jours, il existe beaucoup de produits open source et commerciaux disponibles pour détecter de tels modèles et donner des alertes. Apache recommande une telle surveillance comme bonne pratique d'exploitation pour les services critiques basés sur le Web.

    Source : rapport Baird (au format PDF), communiqué d'Apache

    Et vous ?

    Qu'en pensez-vous ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  4. #4
    Nouveau Candidat au Club
    Homme Profil pro
    .
    Inscrit en
    mai 2015
    Messages
    492
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : .

    Informations forums :
    Inscription : mai 2015
    Messages : 492
    Points : 0
    Points
    0

    Par défaut

    C'est pas OpenSource ? La communauté n'a pas vu la faille ?

  5. #5
    Modérateur
    Avatar de DotNetMatt
    Homme Profil pro
    CTO
    Inscrit en
    février 2010
    Messages
    3 295
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : CTO
    Secteur : Finance

    Informations forums :
    Inscription : février 2010
    Messages : 3 295
    Points : 8 756
    Points
    8 756
    Billets dans le blog
    3

    Par défaut

    C'est risible, les mecs avaient quand meme un systeme avec les identifiants par defaut admin / admin

    Voir ici : How Equifax got Hacked ou encore ici : Ayuda! (Help!) Equifax Has My Data!
    Less Is More
    Pensez à utiliser les boutons , et les balises code
    Desole pour l'absence d'accents, clavier US oblige

  6. #6
    Membre habitué
    Profil pro
    Inscrit en
    février 2008
    Messages
    90
    Détails du profil
    Informations personnelles :
    Localisation : France, Rhône (Rhône Alpes)

    Informations forums :
    Inscription : février 2008
    Messages : 90
    Points : 154
    Points
    154

    Par défaut

    J'aime bien ces recommandations d'Apache :

    Citation Envoyé par Stéphane le calme Voir le message
    3. Tout logiciel complexe comporte des failles. Ne créez pas votre politique de sécurité en supposant que le support des produits logiciels est impeccable, en particulier en termes de vulnérabilités de sécurité
    4. Établissez des calques de sécurité. C'est une bonne pratique d'ingénierie logicielle pour avoir des couches sécurisées individuellement derrière une couche de présentation publique telle que la structure Apaches Struts. Une violation de la couche de présentation ne devrait jamais permettre l'accès à des ressources importantes ou même à toutes les ressources d'information de back-end
    Avant de dire que tel ou tel composant a permit le piratage, il faudrait peut être commencer à isoler l'accès aux données du reste .
    Et surtout ne pas croire que le piratage, c'est pour les autres .

Discussions similaires

  1. Réponses: 10
    Dernier message: 08/12/2016, 10h51
  2. Réponses: 5
    Dernier message: 25/08/2016, 13h48
  3. Réponses: 5
    Dernier message: 06/06/2015, 13h41
  4. Réponses: 1
    Dernier message: 17/02/2014, 13h33
  5. Savoir si les données envoyées sur USB ont été lu ?
    Par echecetmat dans le forum Débuter
    Réponses: 0
    Dernier message: 20/11/2008, 15h52

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo