Equifax à nouveau étrillé par un rapport parlementaire

La commission parlementaire américaine de supervision et de réforme du gouvernement, le House Committee on Oversight and Government Reform, vient de publier un nouveau rapport expliquant en détail comment est survenue la compromission reconnue par Equifax en septembre 2017 et comment elle aurait pu être évitée.

Dans son rapport, la commission a conclu que l’incident, qui a affecté 148 millions de personnes, était « entièrement évitable » et qu'il s'est produit parce qu'Equifax « n'a pas mis en œuvre un programme de sécurité adéquat pour protéger ces données sensibles ».

Dans leur rapport, les membres de la commission notent qu’Equifax « aurait dû s'attaquer à au moins deux points faibles pour atténuer, ou même prévenir, cette atteinte à la protection des données. Tout d'abord, il y avait un manque de responsabilisation et d'autorité hiérarchique claire dans la structure de gestion du SI d'Equifax, ce qui a entraîné un décalage entre l'élaboration de la politique et l'exploitation ». Cet écart est également blâmé pour avoir « limité la mise en œuvre par l'entreprise d'autres initiatives en matière de sécurité de manière exhaustive et en temps opportun ». L’illustration du propos est sans concession : « Equifax avait laissé expirer plus de 300 certificats de sécurité, dont 79 certificats utilisés pour la surveillance de domaines métiers critiques ».

Et ce n’est pas tout : « la stratégie de croissance agressive d'Equifax et l'accumulation de données ont conduit à un environnement informatique complexe ». Et c’est dans ce contexte qu’Equifax «exploitait un certain nombre de ses applications les plus essentielles sur des systèmes patrimoniaux construits sur mesure. La complexité et la nature obsolète {de ces systèmes] en rendaient la sécurisation particulièrement difficile ».

Comme un précédent rapport d’enquête l’avait déjà montré, tout est parti d’une vulnérabilité d'Apache Struts utilisée dans l'attaque, et rendue publique le 7 mars 2017. Equifax a reçu une alerte du ministère américain de l’Intérieur le lendemain. Le personnel responsable de la mise à jour des systèmes a été informé le 9 mars. Le 15 mars, l'entreprise a effectué une recherche de système vulnérables, pour n'en trouver aucun. Et cela alors même que les attaquants avaient déjà exploité la vulnérabilité le 10 mars.

Les membres de la commission relèvent alors que « Equifax n'a pas entièrement mis à jour ses systèmes. Le système automatisé d’échange avec les consommateurs (ACIS) d'Equifax, un portail sur mesure pour les litiges de consommation, développé dans les années 1970, utilisait une version d'Apache Struts concerné par la vulnérabilité. Las, Equifax n'a pas corrigé Apache Struts dans ACIS, laissant ses systèmes et données exposés ».

Pour Rudolph Araujo, vice-président du marketing chez Awake Security, une jeune pousse spécialisée dans la détection des menaces à partir de l’analyse du trafic réseau, le problème tenait probablement à un manque de contrôles de l’application effective des correctifs et du redémarrage des services concernés : « il est fort probable qu'ils aient réussi un audit de leur processus de gestion des correctifs en affirmant disposer d’un tel processus, mais il y a là un bon exemple de la raison pour laquelle un tel processus ne fonctionne jamais dans une grande organisation. Par exemple, étaient-ils en mesure de connaître tous les serveurs Apache dans un environnement aussi vaste et complexe qu'Equifax ? ».

Satya Gupta, directeur technique et cofondateur de Virsec Systems, va plus loin. Pour lui, il estime que « la sécurité par les correctifs est une stratégie perdante. Les entreprises doivent trouver des moyens de protéger les applications critiques, où qu’elles en soient de l’application des correctifs ». Toutefois, pour lui, « manifestement, Equifax n'avait pas d’approche stricte de la sécurité, et de grandes quantités de données étaient réparties sur de nombreuses plates-formes obsolètes ». Mais pour Satya Gupta, « plus qu'un problème technologique, il s'agit d'un énorme gâchis organisationnel qui a entraîné une réaction publique désastreuse. L’application lente des correctifs n’était qu’un problème structurel parmi de nombreux autres qui ont fait d'Equifax une cible facile ».