Par un après-midi tranquille début septembre 2017, Equifax a révélé une faille de sécurité extraordinaire qui aurait touché près de 200 millions de personnes dans le monde. Étant donné que l'entreprise avait découvert la faille pour la première fois en juillet, cela aurait dû laisser suffisamment de temps pour se préparer à une réponse et à une solution pour toutes les personnes concernées. Au lieu de cela, Equifax a fourni au monde un exemple parfait de comment pas pour gérer une faille de sécurité majeure.
De l'énorme portée de la fuite de données, du jargon juridique déroutant et des sites Web de réponse horriblement peu sûrs, Equifax avait tout pour plaire. Ajoutez à cela des allégations de délit d'initié, une mauvaise communication, une baisse de 30% de la valeur des actions, ainsi que de nouvelles fuites de données, et la société semblait s'être préparée à une chute dramatique de la grâce. Eh bien, autant de grâce qu'une agence d'évaluation du crédit à laquelle vous n'avez jamais explicitement accepté de transmettre vos données sensibles.
La première déclaration d'Equifax sur la violation a indiqué que jusqu'à 144 millions d'Américains pourraient avoir vu leurs informations de crédit compromises. Cela comprenait les noms, adresses, numéros de sécurité sociale (SSN), dates de naissance et dossiers financiers. La société a également signalé que les numéros de carte de crédit de 209 000 consommateurs américains étaient inclus dans la violation. En outre, des dossiers de litige contenant des informations d'identification personnelle pour 189 000 personnes ont été divulgués.
Les premiers rapports dans les médias qualifiaient les personnes concernées de clients d'Equifax. Cependant, vous n'êtes pas vraiment client d'Equifax, d'Experian, de TransUnion ou de toute autre agence d'évaluation du crédit. Ces agences collectent des données auprès de différents fournisseurs de services et de produits financiers. Les données sont ensuite utilisées pour générer votre pointage de crédit, permettant à un prêteur d'évaluer le risque que vous posez. Vous demandez un prêt, une carte de crédit ou une hypothèque? C'est ainsi que la décision est prise.
Pour vous dédommager de la perte des données de près de la moitié de la population adulte américaine, Equifax a créé un site Web, equifaxsecurity2017.com. Ici, vous pouvez entrer votre nom et votre SSN partiel et savoir si vos coordonnées faisaient partie de celles qui ont été divulguées. De plus, vous pouvez vous inscrire à leur service, TrustedID Premier. Il s'agit d'un rapport de crédit de trois bureaux et d'un outil de surveillance SSN, complémentaire aux consommateurs américains pendant un an.
Pourtant, dans leur divulgation initiale, et pendant une semaine après, Equifax est resté remarquablement silencieux sur les détails. Le type d'attaque, le coupable et pourquoi il a pu continuer si longtemps, sans être détecté, sont restés secrets.
Cela a conduit beaucoup à soupçonner qu'il y avait une culpabilité du côté d'Equifax. Six jours plus tard, et après un immense tollé public et les interventions d'un groupe bipartisan de sénateurs, Equifax a finalement admis que l'attaque utilisait un exploit Apache Strut connu (CVE-2017-5638) - un correctif pour lequel a été publié en mars 2017, deux mois avant la violation d'Equifax. Cela a prouvé que, tout comme avec WannaCry plus tôt dans l'année, ne pas mettre à jour votre logiciel peut avoir des conséquences dévastatrices.
Bien qu'elles n'aient pas été divulguées dès le départ, Equifax a été forcée d'admettre que les informations d'un "nombre limité" de résidents britanniques et canadiens étaient également incluses dans la violation. Jusqu'à 44 millions de consommateurs britanniques n'étaient peut-être même pas au courant que l'agence de crédit américaine disposait de leurs données. Cependant, il leur a été fourni par des sociétés telles que BT, British Gas et Capital One. La branche britannique de l'agence de crédit a annoncé en début de soirée le vendredi 15 septembre que 400 000 résidents britanniques étaient touchés. Cette tentative présumée d'enterrer la nouvelle a révélé un "échec du processus" qui a duré une demi-décennie. Pourtant, aucune orientation n'a été offerte aux résidents du Royaume-Uni ou du Canada.
Pour des raisons qui n'ont pas encore été expliquées, Equifax a lancé un site Web distinct pour leur réponse à la violation. Étant donné que le site a été créé en réponse à une faille de sécurité majeure, vous imaginez que toutes les précautions auraient été prises pour s'assurer que le site était un phare de stabilité. Au lieu de cela, le grand nombre de consommateurs américains souhaitant vérifier leurs informations les a submergés. Cela a empêché de nombreuses personnes d'accéder au site ou de charger les résultats de leur évaluation d'impact.
Même dans ce cas, le nombre de visiteurs sur le site aurait peut-être été plus important sans une mauvaise configuration du site Web. Dans le livre de la plupart des gens, un site Web hors domaine avec des mots-clés douteux semblerait être une arnaque de phishing. OpenDNS a semblé d'accord et a bloqué l'accès au site Web pour de nombreux utilisateurs. Pour augmenter le sens de l'ironie, pour compléter votre évaluation, vous devez entrer les six derniers chiffres de votre SSN. Ce sont les mêmes données qu'Equifax a déjà prouvé qu'ils ne peuvent pas protéger !
Quelques heures après le lancement du site, des rapports ont indiqué que vous ne pouviez même pas faire confiance aux résultats de leur évaluation d'impact. Saisir les mêmes détails plusieurs fois donnerait des réponses différentes quant à savoir si vous avez été affecté. Certaines personnes ont même essayé de saisir sciemment de fausses informations. Fait inquiétant, ils ont constaté qu'Equifax dirait à la personne inexistante que ses données avaient été divulguées.
Si vous étiez prêt à accepter que vos données avaient en fait été compromises lors de la violation, Equifax vous a accueilli avec une vague déclaration sur la violation et vous a encouragé à vous inscrire à TrustedID Premier. Étant donné qu'Equifax était à l'origine de la violation, il semble de mauvais goût qu'ils vous encouragent à vous inscrire à un essai gratuit de leur propre service de protection contre la fraude.
Ceux qui se sont inscrits à TrustedID Premier ont pu effectuer un gel de crédit et ont reçu un code PIN de confirmation. Cependant, le code PIN semblait être un horodatage du moment où le gel a été effectué. Cela rendrait le code PIN inutile - il pourrait facilement être deviné, permettant à quiconque de débloquer votre gel de crédit. Malgré les démentis initiaux, Equifax a déclaré plus tard qu'ils passaient à une nouvelle méthode qui rendrait aléatoire la génération de NIP. De plus, ils permettraient aux consommateurs de demander qu'un nouveau code PIN soit envoyé à leur adresse postale enregistrée.
Lorsqu'Equifax a lancé pour la première fois le site Web equifaxsecurity2017, les conditions d'utilisation de TrustedID Premier semblaient impliquer qu'en utilisant le service, vous renonciez à votre droit de participer à tout recours collectif contre l'entreprise à l'avenir. Le tollé suscité par cette injustice perçue a poussé Equifax à publier une mise à jour le lendemain. Ils ont maintenant déclaré que la clause compromissoire n'était pas applicable à la faille de sécurité.
Cela n'a guère rassuré les personnes qui n'étaient naturellement pas convaincues, ce qui a conduit à une nouvelle déclaration près d'une semaine plus tard indiquant qu'ils "ont supprimé ce langage des conditions d'utilisation de TrustedID Premier et qu'il ne s'appliquera pas aux produits gratuits proposés en réponse à l'incident de cybersécurité". ou pour les réclamations liées à l'incident de cybersécurité lui-même. La langue d'arbitrage ne s'appliquera pas à tout consommateur qui s'est inscrit avant la suppression de la langue."
Dans un mouvement qu'Equifax prétend être une coïncidence totale, deux jours seulement après avoir découvert la brèche, trois cadres supérieurs ont vendu des actions totalisant 1,8 million de dollars. Cette vente importante a eu lieu quelques jours seulement après la découverte de la violation, mais plus d'un mois avant qu'elle ne soit divulguée publiquement. Si les individus avaient connaissance de l'atteinte à la sécurité, ils contreviendraient aux lois sur le délit d'initié. Sciemment ou non, leur vente opportune a eu de la chance. Au moment de la rédaction de cet article, les actions d'Equifax ont chuté de 30 % depuis la divulgation de la violation.
Compte tenu de la nature hautement sensible de la violation, de nombreuses personnes concernées critiquent, à juste titre, le laxisme apparent en matière de sécurité d'Equifax. Par exemple, USA Today a rapporté que dans les quelques jours suivant la divulgation, 23 poursuites ont été déposées dans 14 États contre l'agence d'évaluation du crédit. Tel que rapporté par Bloomberg, un recours collectif intenté dans l'Oregon demande des dommages-intérêts pouvant atteindre 7 milliards de dollars. Même si le tribunal devait accorder une somme aussi importante, cela équivaut à un peu moins de 500 $ par personne. Cela semble-t-il suffisant pour compenser le risque à vie d'usurpation d'identité ?
Joshua Browder, le créateur du bot DoNotPay [Broken URL Removed], a élargi sa fonctionnalité pour simplifier le processus de demande à la cour des petites créances pour les dommages liés à la violation d'Equifax. Ceci est admirable et contribue grandement à rendre plus facile à digérer la documentation juridique souvent complexe. Cependant, certains rapports ont affirmé que le bot DoNotPay, développé à l'origine pour vous aider à lutter contre les amendes de stationnement, pourrait automatiser l'ensemble du processus. Comme le note TechCrunch, tout ce que le bot fait vraiment est d'aider avec la paperasse initiale - vous devez toujours défendre l'affaire devant le tribunal.
S'il subsistait le moindre doute quant aux mauvaises pratiques de sécurité d'Equifax, un exemple de la branche argentine d'Equifax est susceptible de le supprimer entièrement. Signalé pour la première fois par KrebsOnSecurity, un portail en ligne utilisé par les employés pour régler les litiges de crédit nommé Veraz (qui signifie véridique en espagnol) s'est avéré vulnérable. Vous pouvez vous attendre à ce que la vulnérabilité soit technique, mais au lieu de cela, il s'agissait de l'une des failles de sécurité les plus élémentaires :les mauvais mots de passe. La combinaison de nom d'utilisateur et de mot de passe incroyablement simpliste, et dans de nombreux cas par défaut, de admin/admin a permis à toute personne qui passait sur le site de se connecter au portail des employés.
Étonnamment, cela vous a permis d'afficher, de modifier et de supprimer les noms d'utilisateur et les mots de passe de plus de 100 employés argentins d'Equifax. Dans chaque cas, les mots de passe en clair se sont révélés être les mêmes que le nom d'utilisateur de l'employé. Si ce n'était pas assez grave, il y avait une zone du site avec 715 pages de rapports détaillés sur chaque plainte ou litige enregistré avec Equifax. Ces informations comprenaient le DNI (l'équivalent argentin du SSN) pour plus de 14 000 personnes - encore une fois, le tout en clair. Equifax a rapidement mis le site hors ligne après avoir été contacté par KrebsOnSecurity et enquête actuellement sur son dernier faux pas en matière de sécurité.
La première étape consiste à utiliser le site Web d'Equifax pour vérifier si vos données ont été affectées par la violation. Cependant, comme les résultats peuvent être incohérents, il peut être préférable de supposer que vous avez été affecté. Comme la société a maintenant clarifié le langage qui l'entoure, inscrivez-vous à son service TrustedID Premier. Cela vous permettra d'effectuer un gel de crédit et d'empêcher quiconque d'ouvrir un crédit en votre nom. Compte tenu de la nature sensible des données perdues lors de la fuite, il est possible que des escrocs colportent leurs marchandises, alors restez vigilant contre les escroqueries par ingénierie sociale et par hameçonnage.
À la suite de nombreuses violations de données, nous vous conseillons souvent de changer vos mots de passe, de commencer à utiliser un gestionnaire de mots de passe, de vous inscrire à HaveIBeenPwned, d'activer l'authentification à deux facteurs dans la mesure du possible et d'améliorer votre cyber-hygiène. Bien qu'aucun de ces éléments ne vous protège directement contre la fuite d'Equifax, le renforcement de votre sécurité ne vous fera aucun mal. Compte tenu des circonstances, cela vaudrait peut-être même la peine de faire un effort supplémentaire et d'effectuer un contrôle de sécurité complet.
La violation d'Equifax sera très probablement l'événement de sécurité le plus marquant d'une année effrénée de violations de données et d'attaques de ransomwares. Comme pour d'autres événements de sécurité très médiatisés comme WannaCry et le flux incessant de fuites de données, il y a un côté positif à trouver dans la nature étonnante de la violation d'Equifax. En attirant l'attention du public sur la sécurité des données, les rapports de solvabilité et les fautes professionnelles des entreprises, il est possible que ces questions soient discutées et atténuées. La réponse énergique de nombreux sénateurs américains garantira, espérons-le, que cette brèche ne disparaîtra pas en arrière-plan. Equifax a au moins admis que certains changements de personnel étaient nécessaires ; le directeur de l'information et le directeur de la sécurité ont donc " pris leur retraite ".
Malgré sa notoriété et son immense portée, il n'y a toujours aucune information sur l'identité des attaquants. Pour sa part, Equifax est resté entièrement silencieux sur la question – conformément au reste de sa réponse mal gérée. Quelques jours seulement après que la violation a été rendue publique, un groupe a émergé prétendant détenir les données et a exigé une rançon de 600 Bitcoin. Après que les chercheurs ont découvert le service d'hébergement du site .onion, il a été rapidement fermé.
Par ailleurs, un groupe se faisant appeler Equihax a également affirmé être en possession des données, mais n'a fourni aucune preuve vérifiable. Étant donné le caractère potentiellement lucratif des données, vous pouvez être certain qu'il ne faudra pas longtemps avant que les pirates tentent d'en tirer profit.
Avez-vous été touché par la faille de sécurité d'Equifax ? Pensez-vous qu'Equifax est à blâmer et aurait-il pu faire plus pour vous protéger ? Faites-le nous savoir dans les commentaires !
Crédit image :stevanovicigor/Depositphotos
