thodonal - stock.adobe.com
Equifax, victime de l’exploitation d’une vulnérabilité Apache Struts
Le spécialiste de l’évaluation de la solvabilité a confirmé qu’il n’avait pas appliqué le correctif disponible depuis le mois de mars. Ses DSI et RSSI ont démissionné.
Les spéculations sur les causes de la vaste brèche de données personnelles dont Equifax a été victime au printemps étaient justes : c’est bien en exploitant la vulnérabilité Apache Struts référencée CVE-2017-5638 que les cyberdélinquants se sont infiltrés. Fin juin déjà, le chercheur David Hoyt dénonçait le manque d’application du correctif relatif à celle-ci, pourtant disponible depuis le mois de mars, notamment au sein d’entreprises spécialisées dans l’évaluation de la solvabilité.
Dans sa note d’information sur l’intrusion, récemment mise à jour, Equifax indique travailler avec Mandiant depuis début août pour étudier l’étendu de la compromission. Le spécialiste de l’évaluation de la solvabilité précise avoir pris des mesures de remédiation « à court terme » et assure « continuer d’implémenter et d’accélérer des améliorations de sécurité à long terme ». Il reconnaît que ses équipes étaient au courant de la vulnérabilité. Selon Equifax, celles-ci ont « fait des efforts pour identifier et les systèmes vulnérables au sein de l’infrastructure IT de l’entreprise et leur appliquer les correctifs ».
Dans l’organisation, l’intrusion a déjà fait ses premières victimes : les DSI et RSSI ont démissionné. Le vice-président d’Equifax en charge des systèmes d’information, Russ Ayres, a été nommé RSSI par intérim. Depuis cette annonce, Susan Mauldin, la précédente RSSI de l’entreprise, a fait l’objet de nombre de critiques, tant sur son départ, que sur… ses diplômes, sans lien avec la sécurité informatique. Certains n’ont toutefois pas manqué de monter au créneau, à l’instar de Gadi Evron, Pdg de Cymmetria, qui regrette que « nous ne demandions pas ‘ont-ils bien répondu ?’ [à la découverte de la brèche], ce qui est le seul indicateur qui compte. A la place, nous rabaissons leur RSSI sur la base d’un diplôme universitaire en musique ».
Surtout, pour lui, quelle qu’ait pu être la posture initiale de sécurité d’Equifax, il convient de ne pas oublier « que nous vivons dans un monde où l’hypothèse de base est que l’on est compromis, avec des environnements sans confiance », ni encore que la cybersécurité est un domaine par essence fortement asymétrique. Pas question pour autant, pour Gadi Evron, de ne pas questionner Equifax sur des points concrets. Et ils sont nombreux.
Kevin Beaumont relevait ainsi, la semaine dernière, que l’organisation avait laissé, publiquement accessibles, sur son site Web, les compte-rendu d’audits de sécurité commandés auprès de KPMG : « une autre leçon à retirer est de ne pas publier les audits externes soulignant les failles dans votre réseau, sur votre site Web ». Mais il y a plus.
Un portail Web utilisé par les employés d’Equifax en Argentina pour gérer les plaintes de clients semble avoir été très aisément accessible : l’identifiant était ‘admin’, assorti du mot de passe… ‘admin’. Le portail en question a été précipitamment fermé à la découverte de la situation.
Parallèlement, le chercheur Scott Helme pointait des défauts de configuration dans les serveurs Web d’Equifax, quand d’autres s’inquiétaient de plusieurs logiciels malveillants semblant communiquer avec le domaine Equifax.com. De son côté, Chad Kreimendahl, chez Onspring, indique avoir reçu des messages non sollicités sur une adresse e-mail qu’il n’a jamais utilisée que pour ses échanges avec Equifax. Ce qui pourrait être « le premier indique que les données dérobées sont désormais dans la nature ».
La Federal Trade Commission (FTC), l’autorité américaine de la concurrence, commence d’ailleurs à alerter sur les risques de tentatives de hameçonnage basés sur les données dérobées. Elle a lancé une enquête. Le PDG d’Equifax vient enfin d’être formellement appelé à témoigner, le 3 octobre, devant les législateurs américains.