icetray - Fotolia

Equifax : des avertissements de longue date

Un chercheur en sécurité avait dévoilé de nombreux problèmes de sécurité chez Equifax, plusieurs mois avant que ce dernier ne subisse une importante brèche. Mais aucun n’avait été corrigé.

Selon une nouvelle étude, les problèmes de sécurité d’Equifax étaient considérablement plus graves qu’initialement supposé, et plusieurs alertes sont restées non traitées durant des mois avant que l’entreprise n’ait été victime d’une brèche.

Un chercheur en sécurité affirme ainsi avoir averti sur plusieurs problèmes de sécurité dès décembre 2016, soit environ trois mois avant l’intrusion initiale sur l’infrastructure d’Equifax. Anonyme, le chercheur en question a expliqué à nos confrères de Motherboard que le site Web de l’entreprise exposait des données personnelles, dont noms, adresses, numéros de sécurité sociale et dates de naissance, via un bug dit de navigation forcée.

Pour Jake Williams, fondateur du cabinet de conseil Rendition InfoSec, ce type de bug est « inexcusable à cette époque ». De fait, Andrew « Weev » Auernheimer est allé en prison pour avoir exploité un tel bug qui révélait des informations considérablement moins sensibles que celle que laissait fuiter le site Web d’Equifax : « qu’une entreprise soit informée d’un tel bug exposant des données personnelles, et échoue à le corriger dans le contexte actuel confine à la négligence », estime ainsi Jake Williams.

Mais au-delà de ce bug, le chercheur indique avoir trouvé que les serveurs d’Equifax exécutaient des logiciels obsolètes et vulnérables à des injections SQL permettant un accès en mode Shell aux systèmes concernés.

Peter Tran, directeur général de la practice de défense avancée de RSA, estime que ces problèmes ne sont pas uniques, mais que « les enjeux augmentent exponentiellement dans le cas des données personnelles ».

Pour lui, « les zones d’ombres de la surveillance des vulnérabilités peuvent dérailler très vite, en particulier avec des actifs Web ouverts au public sujets à d’importants efforts d’exploration et de reconnaissance. C’est une double bulle : si l’une des couches de sécurité tomber, vous pouvez faire tomber la suivante, comme l’angle mort classique de l’injection SQL ».

La réponse d’Equifax

En informant Equifax de ces problèmes, le chercheur assure lui avoir demandé de fermer au moins l’accès public aux serveurs concernés. Mais Equifax n’a réagi qu’en juin, soit environ trois mois après la survenue de la brèche, via une vulnérabilité Apache Struts sans lien, et un mois après sa découverte.

Pour Hector Monsegur, directeur des services d’évaluation de Rhino Security Labs, « la situation dans son ensemble est inexcusable ». Mais il imagine également sans peine « comme les alertes de vulnérabilités ont pu passer inaperçues ». Car pour lui, « c’est fréquent, dans les organisations avec de vastes surfaces d’attaque, de grandes quantités d’employés et aucune coordination entre divers services IT ». Et d’ajouter qu’à moins qu’elles ne « changent drastiquement leur posture de sécurité », la situation risque d’empirer. Mais à mon moment, « les grandes organisations à la sécurité laxiste risquent d’être confrontées à la réalité : il y a d’importantes conséquences aux bévues de sécurité ».

Pour Rick Holland, vice-président de Digital Shadows en charge de la stratégie, ces dernières révélations écornent un peu plus la défense passée de l’ancien Pdg d’Equifax. Loin d’être de le fruit d’une négligence isolée, la brèche semble plutôt trouver son origine dans « des problèmes systémiques du programme de gestion des vulnérabilités » de l’entreprise : « compte de la nature des données manipulées, Equifax avait une grande probabilité d’être visé par des acteurs malveillants. Si leur programme de sécurité est aussi faible qu’il le semble, il y a probablement eu plusieurs acteurs qui se sont marchés sur les pieds à mesure qu’ils sondaient et exploraient l’environnement ». 

Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)

Close