weerapat1003 - stock.adobe.com
Equifax à nouveau étrillé par un rapport parlementaire
La principale commission d’enquête du parlement américain attribue l’incident à des défaillances de sécurité multiples et estime que l’incident aurait pu être évité.
La commission parlementaire américaine de supervision et de réforme du gouvernement, le House Committee on Oversight and Government Reform, vient de publier un nouveau rapport expliquant en détail comment est survenue la compromission reconnue par Equifax en septembre 2017 et comment elle aurait pu être évitée.
Dans son rapport, la commission a conclu que l’incident, qui a affecté 148 millions de personnes, était « entièrement évitable » et qu'il s'est produit parce qu'Equifax « n'a pas mis en œuvre un programme de sécurité adéquat pour protéger ces données sensibles ».
Dans leur rapport, les membres de la commission notent qu’Equifax « aurait dû s'attaquer à au moins deux points faibles pour atténuer, ou même prévenir, cette atteinte à la protection des données. Tout d'abord, il y avait un manque de responsabilisation et d'autorité hiérarchique claire dans la structure de gestion du SI d'Equifax, ce qui a entraîné un décalage entre l'élaboration de la politique et l'exploitation ». Cet écart est également blâmé pour avoir « limité la mise en œuvre par l'entreprise d'autres initiatives en matière de sécurité de manière exhaustive et en temps opportun ». L’illustration du propos est sans concession : « Equifax avait laissé expirer plus de 300 certificats de sécurité, dont 79 certificats utilisés pour la surveillance de domaines métiers critiques ».
Et ce n’est pas tout : « la stratégie de croissance agressive d'Equifax et l'accumulation de données ont conduit à un environnement informatique complexe ». Et c’est dans ce contexte qu’Equifax «exploitait un certain nombre de ses applications les plus essentielles sur des systèmes patrimoniaux construits sur mesure. La complexité et la nature obsolète {de ces systèmes] en rendaient la sécurisation particulièrement difficile ».
Comme un précédent rapport d’enquête l’avait déjà montré, tout est parti d’une vulnérabilité d'Apache Struts utilisée dans l'attaque, et rendue publique le 7 mars 2017. Equifax a reçu une alerte du ministère américain de l’Intérieur le lendemain. Le personnel responsable de la mise à jour des systèmes a été informé le 9 mars. Le 15 mars, l'entreprise a effectué une recherche de système vulnérables, pour n'en trouver aucun. Et cela alors même que les attaquants avaient déjà exploité la vulnérabilité le 10 mars.
Les membres de la commission relèvent alors que « Equifax n'a pas entièrement mis à jour ses systèmes. Le système automatisé d’échange avec les consommateurs (ACIS) d'Equifax, un portail sur mesure pour les litiges de consommation, développé dans les années 1970, utilisait une version d'Apache Struts concerné par la vulnérabilité. Las, Equifax n'a pas corrigé Apache Struts dans ACIS, laissant ses systèmes et données exposés ».
Pour Rudolph Araujo, vice-président du marketing chez Awake Security, une jeune pousse spécialisée dans la détection des menaces à partir de l’analyse du trafic réseau, le problème tenait probablement à un manque de contrôles de l’application effective des correctifs et du redémarrage des services concernés : « il est fort probable qu'ils aient réussi un audit de leur processus de gestion des correctifs en affirmant disposer d’un tel processus, mais il y a là un bon exemple de la raison pour laquelle un tel processus ne fonctionne jamais dans une grande organisation. Par exemple, étaient-ils en mesure de connaître tous les serveurs Apache dans un environnement aussi vaste et complexe qu'Equifax ? ».
Satya Gupta, directeur technique et cofondateur de Virsec Systems, va plus loin. Pour lui, il estime que « la sécurité par les correctifs est une stratégie perdante. Les entreprises doivent trouver des moyens de protéger les applications critiques, où qu’elles en soient de l’application des correctifs ». Toutefois, pour lui, « manifestement, Equifax n'avait pas d’approche stricte de la sécurité, et de grandes quantités de données étaient réparties sur de nombreuses plates-formes obsolètes ». Mais pour Satya Gupta, « plus qu'un problème technologique, il s'agit d'un énorme gâchis organisationnel qui a entraîné une réaction publique désastreuse. L’application lente des correctifs n’était qu’un problème structurel parmi de nombreux autres qui ont fait d'Equifax une cible facile ».
D’autres de problèmes de sécurité
Au-delà du problème de mise à jour d'Apache Struts, le rapport de la commission parlementaire souligne que l'entreprise avait de sérieux problèmes avec les certificats de sécurité.
On peut ainsi y lire qu’Equifax « n'a pas vu l'exfiltration des données parce que le dispositif utilisé pour surveiller le trafic du réseau ACIS était inactif depuis 19 mois en raison d'un certificat ayant expiré. Le 29 juillet 2017, Equifax a renouvelé ce certificat et immédiatement remarqué un trafic Web suspect ». Un trafic réseau lié à une adresse IP en Chine qui « contenait potentiellement des fichiers images liés aux enquêtes de solvabilité ». C’est là qu’Equifax a découvert qu’il était attaqué activement et a pu lancer ses mesures de remédiation.
Pour Rudolph Araujo, les certificats en question étaient probablement nécessaires pour déchiffrer les données avant qu'elles ne soient traitées par un système de détection d'intrusion : « si le dispositif d'inspection SSL ne possède pas les certificats appropriés, il ne peut pas déchiffrer les données et, par conséquent, ne peut pas les transmettre aux systèmes de détection d'intrusion (IDS). De toute évidence, cela n'aurait jamais dû se produire ». Pour autant, « même si les certificats n'avaient pas expiré, il n’aurait pas été surprenant qu'il n'y ait pas eu d'alertes, étant donné la faiblesse des IDS traditionnels dans la détection d'exfiltrations de données, en particulier celles qui se font lentement et furtivement ».
Jesse Dean, directeur principal des solutions chez Tetrad Digital Integrity, estime qu’il faut voir le cas Equifax comme « une mise en garde pour les RSSI, les dirigeants et les conseils d'administration », car cette entreprise « n'est pas différente de la plupart des moyennes et grandes organisations en matière de cybersécurité ». De fait, pour lui, malgré les budgets, les équipes, les outils ou encore les politiques de sécurité, « ce qui, malheureusement, se perd, c'est la visibilité et la responsabilité autour des bases fondamentales telles que la segmentation réseau, l'inventaire, la gestion des certificats et des vulnérabilités ».