Le gouvernement américain publie un rapport post-mortem sur le hack d'Equifax

Le Government Accountability Office (GAO) a publié un rapport dans lequel il explique en détail comment le bricolage d’Equifax a échoué et comment la société d’enquête de crédit a répondu pendant et après l’incident.

Le rapport survient un jour avant l'anniversaire d'un an de l'annonce publique de la brèche à Equifax, qui révélait les données personnelles de 145,5 millions d'Américains, mais également de millions de citoyens britanniques et canadiens.

Certains des détails inclus dans le rapport étaient déjà connus et avaient déjà été rapportés, mais il y avait aussi de nouvelles informations. Vous trouverez ci-dessous un résumé des détails les plus importants concernant le piratage d’Equifax inclus dans la reconstruction des événements par le GAO.

Le 8 mars 2017, la Fondation Apache a corrigé une vulnérabilité grave (CVE-2017-5638) du framework Java Apache Struts qui était à l'époque exploitée par des pirates informatiques pour s'emparer d'applications codées dans le framework.

Le même jour, US-CERT publie un avis de sécurité avertissant les entreprises américaines de cette nouvelle faille de sécurité.

Les administrateurs informatiques d’Equifax distribuent cet avis sur une liste de diffusion interne. À l'insu de ses administrateurs informatiques, la liste de diffusion était obsolète et n'incluait pas tous ses administrateurs système, ce qui a indirectement conduit à un correctif incomplet des serveurs d'Equifax.

Equifax a déclaré à GAO que le 10 mars, deux jours après l’avis US-CERT, elle avait détecté des pirates qui analysaient ses serveurs pour détecter cette vulnérabilité particulière.

Les responsables d'Equifax ont déclaré qu'à la suite de cette analyse, des personnes non identifiées ont découvert un serveur hébergeant le portail de résolution des litiges en ligne d'Equifax, exécutant une version vulnérable de Struts. Les attaquants ont eu accès à ce système, ont testé le niveau d'accès dont ils disposaient, mais n'ont rien volé.

Une semaine après l'avis de l'US-CERT, le personnel d'Equifax analyse ses propres systèmes pour détecter la présence de la vulnérabilité Struts, mais le portail de règlement des litiges ne s'affiche pas comme vulnérable.

Les pirates reviennent le 13 mai et cette fois, selon le rapport du GAO, ils sont revenus avec un plan et les outils appropriés pour l'exécuter.

Au cours de cette seconde intrusion, Equifax a déclaré que les attaquants avaient envoyé des requêtes des systèmes de portail de litiges en ligne à d'autres bases de données à la recherche de données personnelles.

"Cette recherche a abouti à un référentiel de données contenant des informations personnelles, ainsi que des noms d'utilisateur et mots de passe non chiffrés, qui permettraient aux attaquants d'accéder à plusieurs autres bases de données d'Equifax", indique le rapport.

Ces données ont aidé les attaquants à étendre leur accès initial de 48 bases sur trois bases de données. Les journaux ont montré que les attaquants avaient ensuite exécuté environ 9 000 requêtes afin de collecter les informations client d'Equifax.

Le rapport du GAO indique que cela s’est produit parce qu’Equifax n’a pas réussi à segmenter ses bases de données en réseaux plus petits. Cela a ensuite permis à l'attaquant d'accéder directement et facilement à toutes les données de ses clients.

"Après avoir extrait avec succès les informations personnelles des bases de données d'Equifax, les attaquants ont effacé les données par petits incréments, en utilisant des protocoles Web cryptés standard pour dissimuler les échanges sous forme de trafic réseau normal", ont déclaré des enquêteurs du GAO.

Les pirates ont exfiltré les données pendant 76 jours jusqu'au 29 juillet 2017, date à laquelle le personnel d'Equifax a découvert l'intrusion au cours de vérifications de routine du statut de fonctionnement et de la configuration des systèmes informatiques.

Equifax a expliqué que la raison pour laquelle les pirates informatiques n’avaient pas été détectés pendant 76 jours était qu’un dispositif censé inspecter le trafic réseau avait été mal configuré et n’avait pas vérifié le trafic chiffré à la recherche de signes d’activité malveillante.

Equifax a expliqué que le dispositif ne fonctionnait pas parce qu’un certificat numérique qui aurait aidé l’équipement à inspecter le trafic crypté avait expiré environ dix mois avant la violation, empêchant ainsi l’équipement de fonctionner correctement.

Dès que les membres du personnel d'Equifax ont renouvelé le certificat, ils ont immédiatement vu des signes d'activité suspecte.

Après avoir enquêté sur ce qui s'est passé et découvert l'intrusion, Equifax a fermé le portail du litige le 30 juillet 2017 et a signalé l'incident à son PDG le lendemain. À ce stade, la société a ouvert son enquête interne, qui s'est terminée par une annonce publique de la violation le 8 septembre 2017.

Au cours des préparatifs en vue de la divulgation publique de la violation, diverses personnes ont également appris l'incident de sécurité. La Securities and Exchange Commission (SEC) des États-Unis a mis en accusation un dirigeant et un ingénieur d'Equifax pour délit d'initié en mars et juin de cette année.

Une grande réaction publique a suivi l'annonce de la violation par Equifax. Certains pensent peut-être que la violation d'Equifax a été un tournant dans la protection des droits des consommateurs après des violations de données, mais les choses n'ont pas changé du tout au cours de l'année écoulée. Si quelque chose, ils ont laissé un mauvais goût dans la bouche de tout le monde.

Pour commencer, le Bureau de la protection financière des consommateurs a renoncé à une enquête approfondie sur Equifax en février 2018. En mai 2018, la Federal Trade Commission a nommé un ancien avocat d'Equifax à la tête de son bureau de la protection des consommateurs, chargé d'enquêter endroit. Un projet de loi visant à sanctionner des sociétés comme Equifax en cas d'infractions effroyables s'est lentement éteint, tandis qu'un autre projet de loi récompensant Equifax malgré les atteintes à la vie privée a été présenté quelques mois plus tard.

Le rapport du GAO publié aujourd'hui ouvre de vieilles blessures et constitue une gifle pour toutes les personnes concernées qui s'attendaient à des actions et à des discussions sans fin sur le sujet.

Source : ZDNET