Equifax : les données personnelles de 143 millions d’américains exposées

Les critiques pleuvent déjà

Dès la publication de cette information, les critiques n’ont pas manqué de commencer à s’exprimer. Et cela commence avec la position du CEO de l’Equifax qui a qualifié l’incident de « déception », présentant ses excuses pour « l’inquiétude et la frustration causées ». Surtout, l’entreprise était-elle bien protégée ?

Equifax assure que le cœur de son système d’information n’a pas été affecté. L’entreprise semble utiliser notamment, pour le protéger, les solutions de FireEye, comme s’en vantait Tony Spinelli, dans un livre blanc du groupe. Il a occupé le poste de vice-président senior et RSSI d’Equifax jusqu’en mars 2013.

Mais quid des systèmes exposés publiquement sur Internet ? C’est peut-être là qu’il faut chercher l’origine de l’incident. Plusieurs experts se sont penchés sur les sites Web d’Equifax. Et ils ne sont pas tendre, Kevin Beaumont évoquant une découverte donnant l’impression de « revenir une décennie en arrière ». Un peu plus tôt, il relevait plusieurs « anciennes » vulnérabilités. 

Equifax's infrastructure is a weird mix of IBM WebSphere, Apache Struts, Java.. it's like stepping back in time a decade. https://t.co/FEnd0FTVHS

— Kevin Beaumont (@GossiTheDog) September 8, 2017

En outre, Equifax a été précédemment victime de plusieurs brèches de sécurité, de moindre ampleur, certes, mais non négligeables. Mais même aujourd’hui, l’entreprise a-t-elle vraiment pris toutes les mesures nécessaires pour protéger les victimes, ne serait-ce que d’opérations de phishing utilisant des noms de domaine cherchant à usurper son identité ? 

Which of these is the real Equifax site asking for your social security number?

— notdan ✸ (@notdan) September 8, 2017

L’un d’entre eux désormais clairement identifié par Google comme frauduleux. Un autre, Trustidpremier.com a été enregistré avant qu’Equifax ne communique publiquement. Pour un RSSI français, il est « incroyable qu’une société qui dispose de votre vie soit si peu encline aux détails ».

Accessoirement, le site Web utilisé pour l’enrôlement dans son programme de protection de l’identité semble fonctionner sous Apache Tomcat 4.1, qui n’est plus supporté. Selon x0rz, le site Web d’Equifax présenterait toujours une vulnérabilité XSS qui lui avait été signalée en 2016.

Basic XSS on Equifax, still working after being reported in 2016 ¯\_(ツ)_/¯ (h/t @dustyfresh) #equifaxbreach #XSS pic.twitter.com/Kic3NIO9GQ

— x0rz (@x0rz) September 8, 2017

Des doutes sur certains comportements

Mais les questions ne s’arrêtent pas là. Trois cadres dirigeants d’Equifax ont ainsi vendu des actions de l’entreprise pour rien moins que 1,8 M$ tout début août, juste après, donc, la découverte de la brèche. Mais selon l’entreprise, interrogée par nos confrères de Bloomberg, ils n’étaient pas au courant de l’incident à ce moment-là.

Au passage, l’image de FireEye pourrait également être écornée : l’un de ses consultants a enregistré le nom de domaine equihax.com avant l’annonce de l’incident. Son profil LinkedIn n’est depuis plus accessible. 

Also, not cool that a FireEye employee registered https://t.co/EbCMwVmXPl before public announcement, very professional 👏 pic.twitter.com/8jqKXzehsh

— x0rz (@x0rz) September 8, 2017

Mais les données compromises chez Equifax pourraient déjà être dans la nature. Un site accessible uniquement via Tor revendique de les proposer à la vente, pour rien moins que 600 bitcoins (soit 2,33 M€) avant le 15 septembre à 16h. 

Dark Web portal claiming to sell Equifax data badtouchyonqysm3[.]onion #Equifax #databreach pic.twitter.com/5m6jg0GczL

— Catalin Cimpanu (@campuscodi) September 8, 2017