Equifax pointe du doigt une faille dans Apache Struts qui aurait été utilisée
Pour accéder aux informations de 143 millions de ses clients américains

Le , par Stéphane le calme

81PARTAGES

13  0 
Dans un communiqué de presse, Equifax, une agence de déclaration de crédit à la consommation aux États-Unis (considérée comme l'une des trois plus grandes agences de crédit américaines avec Experian et TransUnion), a confirmé avoir été victime d’une violation de données suite à une attaque qui a eu lieu le 29 juillet.

La société a pointé du doigt une faille dans le logiciel qui exécute ses bases de données en ligne et qui aurait permis aux pirates d’accéder aux informations personnelles d'environ 143 millions d'Américains. Les pirates ont eu accès, de mi-mai à juillet, à des informations comme les noms, les adresses, les dates de naissance, les numéros de sécurité sociale et le permis de conduire, autant d’informations qui peuvent servir à une usurpation d’identité.

Equifax a également précisé que les cybercriminels étaient parvenus à accéder aux numéros de carte de crédit de 209 000 citoyens américains. Ils ont également pu mettre la main sur plus de 180 000 dossiers de crédits.

Jeffrey Meuler, analyste chez RW Baird & Co., a indiqué que le logiciel open source Apache STRUTS était mis en cause.

STRUTS est un système largement utilisé (par environ 65 % des sociétés figurant dans la liste Fortune 100 parmi lesquelles Lockheed Martin, Citigroup, Vodafone, Virgin Atlantic, Reader's Digest, Office Depot et Showtime).

Dans un communiqué sur son blog, Apache a déclaré ceci :

« Nous sommes navrés d'entendre les nouvelles selon lesquelles Equifax a souffert d'un incident de sécurité et de divulgation d'informations qui a été potentiellement exploité en s’appuyant sur une vulnérabilité dans Apache Struts Web Framework. À ce moment-là, il n'est pas évident de savoir quelle vulnérabilité de Struts aurait été utilisée. Dans un article en ligne publié sur Quartz.com, il a été supposé que la violation pourrait être liée à CVE-2017-9805, qui a été annoncée publiquement le 04-09-2017 ainsi que les nouvelles versions du logiciel Struts Framework pour corriger cette vulnérabilité parmi d'autres. Cependant, la violation de sécurité a été détectée en juillet, ce qui signifie que les attaquants ont utilisé une vulnérabilité annoncée précédemment sur un serveur Equifax non partagé ou alors qu’ils ont exploité une vulnérabilité inconnue à ce moment. Si la violation a été causée par l'exploitation de CVE-2017-9805, elle aurait été une exploitation de type zero day à ce moment-là. L'article indique également que la vulnérabilité CVE-2017-9805 existe depuis neuf ans maintenant.

« Nous, en tant que Apache Struts PMC, voulons préciser que l'équipe de développement s'efforce énormément de sécuriser ainsi que de renforcer le logiciel que nous produisons. Nous nous employons à résoudre les problèmes chaque fois qu’ils sont portés à notre attention. Conformément aux règles de sécurité d'Apache, une fois que nous nous sommes informés d'un éventuel problème de sécurité, nous travaillons en privé avec l'entité déclarante pour reproduire et résoudre le problème et déployer une nouvelle version sécurisée face à la vulnérabilité découverte. Nous publions la description du problème et comment le réparer. Même si le code d'exploitation est connu de nous, nous essayons de retenir cette information pendant plusieurs semaines pour donner aux utilisateurs de Struts Framework le plus de temps possible pour réparer leurs produits logiciels avant que les exploits ne soient diffusés. Cependant, étant donné que la détection et l'exploitation de la vulnérabilité sont devenues une entreprise professionnelle, il est toujours probable que des attaques se produiront avant même que nous divulguions complètement les vecteurs d'attaque, par ingénierie inverse du code qui corrige la vulnérabilité en question ou en cours d'analyse pour les vulnérabilités inconnues.

« En ce qui concerne l'affirmation selon laquelle, en particulier, CVE-2017-9805 est une faille de sécurité de neuf ans, il faut comprendre qu'il existe une énorme différence entre la détection d'un défaut après neuf ans et la connaissance d'un défaut depuis plusieurs années. Si ce dernier était le cas, l'équipe aurait eu du mal à fournir une bonne réponse expliquant pourquoi ils ne l'ont pas corrigé plus tôt. Mais ce n'était pas le cas ici – nous avons été informés récemment de la façon dont un certain code peut être mal utilisé, et nous avons corrigé le problème. Ce que nous avons vu ici est l'activité d'ingénierie de logiciels commune – les gens écrivent du code pour obtenir une fonction souhaitée, mais peuvent ne pas être conscients des effets secondaires indésirables. »

Voici les conseils généraux que la Fondation a donné aux entreprises et particuliers utilisant Apaches Struts ainsi que toute autre bibliothèque de support open source ou fermée dans leurs produits et services logiciels :
  1. Sachez quels bibliothèques et frameworks supportés sont utilisés dans vos produits logiciels et dans quelles versions. Suivez les annonces de sécurité qui affectent ces produits et versions ;
  2. Établissez un processus pour déployer rapidement une version de sécurité de votre produit logiciel une fois que les frameworks et les bibliothèques supportés doivent être mis à jour pour des raisons de sécurité. Le mieux est de penser en termes d'heures ou de quelques jours, pas de semaines ou de mois. La plupart des infractions que nous rencontrons sont causées par l'échec de la mise à jour des composants logiciels qui sont connus pour être vulnérables pendant des mois ou même des années ;
  3. Tout logiciel complexe comporte des failles. Ne créez pas votre politique de sécurité en supposant que le support des produits logiciels est impeccable, en particulier en termes de vulnérabilités de sécurité ;
  4. Établissez des calques de sécurité. C'est une bonne pratique d'ingénierie logicielle pour avoir des couches sécurisées individuellement derrière une couche de présentation publique telle que la structure Apaches Struts. Une violation de la couche de présentation ne devrait jamais permettre l'accès à des ressources importantes ou même à toutes les ressources d'information de back-end ;
  5. Établissez la surveillance des modèles d'accès inhabituels à vos ressources Web publiques. De nos jours, il existe beaucoup de produits open source et commerciaux disponibles pour détecter de tels modèles et donner des alertes. Apache recommande une telle surveillance comme bonne pratique d'exploitation pour les services critiques basés sur le Web.

Source : rapport Baird (au format PDF), communiqué d'Apache

Et vous ?

Qu'en pensez-vous ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de DotNetMatt
Modérateur https://www.developpez.com
Le 15/09/2017 à 23:39
C'est risible, les mecs avaient quand meme un systeme avec les identifiants par defaut admin / admin

Voir ici : How Equifax got Hacked ou encore ici : Ayuda! (Help!) Equifax Has My Data!
8  0 
Avatar de jpouly
Membre averti https://www.developpez.com
Le 18/09/2017 à 14:19
J'aime bien ces recommandations d'Apache :

Citation Envoyé par Stéphane le calme Voir le message

3. Tout logiciel complexe comporte des failles. Ne créez pas votre politique de sécurité en supposant que le support des produits logiciels est impeccable, en particulier en termes de vulnérabilités de sécurité
4. Établissez des calques de sécurité. C'est une bonne pratique d'ingénierie logicielle pour avoir des couches sécurisées individuellement derrière une couche de présentation publique telle que la structure Apaches Struts. Une violation de la couche de présentation ne devrait jamais permettre l'accès à des ressources importantes ou même à toutes les ressources d'information de back-end
Avant de dire que tel ou tel composant a permit le piratage, il faudrait peut être commencer à isoler l'accès aux données du reste .
Et surtout ne pas croire que le piratage, c'est pour les autres .
5  0 
Avatar de Namica
Membre expérimenté https://www.developpez.com
Le 27/09/2017 à 1:26
Tu joues avec la sécurité de tes clients au nom de la rentabilité au profit des actionnaires qui t’ont mis à ton poste et en vue de tes bonis d'exploitation ?
Ben oui, c'est un dilemme, mais là, tu as tout perdu, et pas seulement tes "incentives".
En outre, comment vas-tu retrouver du boulot après une telle tache ?
  • Avis à tous les décideurs de budget, compétents ou non : on ne doit pas badiner avec la sécurité, c'est votre siège éjectable.
  • Avis à tous les chefs de projet, compétents ou non : ben, même remarque.
  • Avis à tous les maillons de la chaine : devinez quoi ?

Euh, à qui confiez-vous vos économies ? A des sociétés (Cie d'assurances, Banques, Bourse, ... ) qui investissent dans des entreprises et les pressent comme un citron pour maximiser leur rentabilité court terme ?
Tout comme vous avez choisi votre placement pour sa rentabilité et son rendement en vue de votre retraite ?

Je pense que nous sommes gouvernés par les fonds de pensions, lesquels vu la concurrence, mettent une néfaste pression sur une rentabilité à court terme des entreprises.
L'ironie de l'affaire c'est que si nous ne sommes pas d'accord avec cette attitude, quel fond de pension choisir/privilégier pour placer notre épargne ?
(pour ceux qui peuvent épargner un petit peu, of course)
J'ai bien quelques idées, mais je préfère lancer d'abord le débat avant de les exposer.
3  0 
Avatar de Volgaan
Membre averti https://www.developpez.com
Le 14/11/2017 à 16:32
Rappelons que, selon les enquêtes de l’entreprise, ce piratage a été possible à cause d’une faille détectée dans Struts, le Framework web utilisé par l’entreprise pour développer son application web.
Parce que Struts n'avait pas été mis à jour alors que le patch qui corrigeait cette faille était disponible depuis mars. C'est une précision importante
3  0 
Avatar de cdubet
Membre actif https://www.developpez.com
Le 29/09/2017 à 15:30
le pire c est qu une fois la fuite connue en interne, les dirigeants se sont empresses de revendre leurs actions vant que le grand public le sache
1  0 
Avatar de Jon Shannow
Membre extrêmement actif https://www.developpez.com
Le 29/09/2017 à 16:00
La Société Générale pourrait peut-être leur revendre Jérôme Kerviel, c'est un concept qui a pas mal marché pour eux...
1  0 
Avatar de cdubet
Membre actif https://www.developpez.com
Le 29/09/2017 à 15:34
faut pas s inquieter pour eux, avec ce qu ils ont touche, ils n ont plus besoin de travailler.

Le dilemme est plutot tu economise sur la securité, tu gagnes beaucoup mais tu as une chance non nulle de sauter si scandale non etouffé ou tu ne tires pas sur la corde et tu ne gagnes rien (car on mettra a ta place un gars qui lui n aura pas tes scrupules)

PS: a niveau des dirigeants, combien sont issus de fonction technique ou ont une compréhension minimale des problemes ?
0  0 
Avatar de marsupial
Membre expert https://www.developpez.com
Le 12/11/2017 à 21:38
87,5 millions de dollars, c'est à la fois beaucoup et très peu. Tout dépend de leur utilisation. Et à ce que j'en vois de la situation, cela va sûrement faire juste.
Mais bon ils ont 240 recours collectifs à gérera.

Édit : ils partent d'aussi loin que France 5, je crois, qui depuis son hack de 2015, remet une couche chaque année, mois, jours de sécurité sans voir le bout du tunnel. Et cela fait trop de boulot et de frais.
0  1 
Avatar de Aeson
Nouveau Candidat au Club https://www.developpez.com
Le 12/09/2017 à 12:41
C'est pas OpenSource ? La communauté n'a pas vu la faille ?
3  13 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web