Photobank - Fotolia
Intrusion chez Equifax : les enseignements d’un fiasco
L’enquête parlementaire vient de livrer ses résultats. Plusieurs facteurs ressortent : gestion des correctifs et des configurations, des certificats numériques, des comptes - et probablement à privilèges -, et absence de segmentation de l’environnement.
C’est en septembre 2017 qu’Equifax a reconnu publiquement la compromission des données personnelles de rien moins que 143 millions d’Américains, notamment. Le spécialiste de l’évaluation de la solvabilité indiquait alors avoir découvert l’intrusion dans son système d’information le 29 juillet précédent. Celle-ci aurait commencé au milieu du mois de mai.
Devant l’ampleur de l’incident, l’organe parlementaire d’audit des comptes publics du budget fédéral américain, le Government Accountability Office (GAO), a décidé de lancer sa propre enquête. Outre-Atlantique, le sujet a été tellement pris au sérieux que trois agences fédérales d’importance – dont le fisc – se sont elles-mêmes penchées dessus, jusqu’à identifier des « soucis techniques de bas niveau qu’il a été demandé à Equifax de traiter ».
Le rapport du GAO n’est en tout cas pas tendre et renvoie à des éléments qui étaient connus au préalable et pour lesquels Equifax n’avait pas manqué d’être rapidement critiqué.
Des vulnérabilités non corrigées
Ainsi, selon Equifax, des tiers ont commencé à chercher dès le 10 mars 2017 la présence de vulnérabilités dans ses déploiements Apache Struts. De quoi souligner la réactivité des attaquants : ces vulnérabilités avaient été rendues publiques deux jours plus tôt. Mais ce n’est que le 15 mars que les équipes de sécurité de l’entreprise ont cherché à leur tour leur présence dans l’infrastructure. Pour ne rien trouver.
Les pirates, eux, ont eu plus de chance. Mais selon Equifax, ce n’est que le 13 mai 2017, « dans un incident distinct faisant suite à l’accès non autorisé initial », que des attaquants ont commencé à accéder aux données et à chercher à dissimuler leurs activités, notamment « en tirant profit de canaux de communication chiffrés existants connectés au portail de contestation en ligne ».
Un défaut de gestions des certificats
Passer ainsi inaperçu a été rendu possible par un défaut de configuration d’un système de sécurité réseau : « Equifax avait installé un équipement pour inspecter le trafic réseau à la recherche d’indices d’activités suspectes, mais un défaut de configuration a permis au trafic chiffré de passer au travers du réseau sans inspection », écrit le GAO. La raison ? L’utilisation d’un certificat numérique arrivé à expiration rien moins que 10 mois avant l’intrusion.
Et c’est la découverte de ce défaut de configuration, le 29 juillet 2017, qui a donc conduit, le même jour, à celle de l’intrusion. Le tout à l’occasion d’une inspection de routine visant à vérifier « l’état opérationnel et la configuration des systèmes IT ».
Mais la prise de contrôle du portail, à très bas niveau, a permis aux attaquants d’accéder à d’autres entrepôts de données d’Equifax, notamment en profitant d’identifiants de comptes stockés en clair. Plus de 50 bases de données ont ainsi été compromises, dont seulement trois étaient liées directement au portail de contestation.
Une approche périmétrique de la sécurité
Les responsables d’Equifax le reconnaissent d’ailleurs aujourd’hui bien volontiers : le travail des pirates a été grandement simplifié par « l’absence de segmentation » de l’infrastructure. Mais cela vaut aussi pour une « gouvernance des données » manifestement défaillante en matière de protection des données sensibles : les fameux identifiants de comptes qui étaient accessibles en clair. Sur Twitter, Matthieu Garin, de Wavestone, résume l’ensemble : « triste à dire… mais classique ! »
Dans son malheur, Equifax a eu une certaine chance : l’enquête, conduite entre le 2 août et le 2 octobre 2017, a ainsi été « facilitée » par le fait que les journaux d’activité des systèmes concernés « n’avaient pas été endommagés ou effacés par les attaquants ». Toutes les entreprises n’ont pas cette chance.
Equifax a évoqué publiquement les multiples mesures qu’il a prises pour éviter qu’un tel incident ne se produise à nouveau. Mais le GAO précise qu’il n’a pas « examiné indépendamment » les efforts consentis « pour traiter les facteurs identifiés ».