thodonal - stock.adobe.com

Equifax : les données personnelles de 143 millions d’américains exposées

Le spécialiste de l’évaluation de la solvabilité a été victime d’une intrusion, entre la mi-mai et la fin juillet. Ses pratiques de sécurité font déjà largement débat. De quoi peut-être faire émerger un nouveau cas d’école.

Equifax est un spécialiste de l’évaluation de la solvabilité des particuliers et des entreprises. Il vient de reconnaître la compromission des données personnelles d’un nombre considérable de particuliers, dont noms, numéros de sécurité sociale, dates de naissance, adresses, « et, dans certains cas, numéro de permis de conduire ». Cela concerne rien moins que 143 millions d’américains. Mais ce n’est pas tout : il faudrait aussi compter avec les numéros de cartes de crédit d’environ 209 000 consommateurs, et des documents relatifs à des litiges contenant des informations personnelles pour « environ 183 000 » particuliers, toujours outre-Atlantique.

Dans un communiqué, Equifax indique avoir découvert l’intrusion le 29 juillet. Celle-ci aurait commencé mi-mai. L’entreprise propose aux particuliers concernés une offre gratuite de protection de l’identité pour une durée limitée à un an.

Les critiques pleuvent déjà

Dès la publication de cette information, les critiques n’ont pas manqué de commencer à s’exprimer. Et cela commence avec la position du CEO de l’Equifax qui a qualifié l’incident de « déception », présentant ses excuses pour « l’inquiétude et la frustration causées ». Surtout, l’entreprise était-elle bien protégée ?

Equifax assure que le cœur de son système d’information n’a pas été affecté. L’entreprise semble utiliser notamment, pour le protéger, les solutions de FireEye, comme s’en vantait Tony Spinelli, dans un livre blanc du groupe. Il a occupé le poste de vice-président senior et RSSI d’Equifax jusqu’en mars 2013.

Mais quid des systèmes exposés publiquement sur Internet ? C’est peut-être là qu’il faut chercher l’origine de l’incident. Plusieurs experts se sont penchés sur les sites Web d’Equifax. Et ils ne sont pas tendre, Kevin Beaumont évoquant une découverte donnant l’impression de « revenir une décennie en arrière ». Un peu plus tôt, il relevait plusieurs « anciennes » vulnérabilités. 

En outre, Equifax a été précédemment victime de plusieurs brèches de sécurité, de moindre ampleur, certes, mais non négligeables. Mais même aujourd’hui, l’entreprise a-t-elle vraiment pris toutes les mesures nécessaires pour protéger les victimes, ne serait-ce que d’opérations de phishing utilisant des noms de domaine cherchant à usurper son identité ? 

L’un d’entre eux désormais clairement identifié par Google comme frauduleux. Un autre, Trustidpremier.com a été enregistré avant qu’Equifax ne communique publiquement. Pour un RSSI français, il est « incroyable qu’une société qui dispose de votre vie soit si peu encline aux détails ».

Accessoirement, le site Web utilisé pour l’enrôlement dans son programme de protection de l’identité semble fonctionner sous Apache Tomcat 4.1, qui n’est plus supporté. Selon x0rz, le site Web d’Equifax présenterait toujours une vulnérabilité XSS qui lui avait été signalée en 2016.

Des doutes sur certains comportements

Mais les questions ne s’arrêtent pas là. Trois cadres dirigeants d’Equifax ont ainsi vendu des actions de l’entreprise pour rien moins que 1,8 M$ tout début août, juste après, donc, la découverte de la brèche. Mais selon l’entreprise, interrogée par nos confrères de Bloomberg, ils n’étaient pas au courant de l’incident à ce moment-là.

Au passage, l’image de FireEye pourrait également être écornée : l’un de ses consultants a enregistré le nom de domaine equihax.com avant l’annonce de l’incident. Son profil LinkedIn n’est depuis plus accessible. 

Mais les données compromises chez Equifax pourraient déjà être dans la nature. Un site accessible uniquement via Tor revendique de les proposer à la vente, pour rien moins que 600 bitcoins (soit 2,33 M€) avant le 15 septembre à 16h. 

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)