Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le DSI d'Equifax démissionne à la suite d'une violation massive des données
Qui affectait potentiellement 143 millions d'Américains

Le , par Stéphane le calme

21PARTAGES

11  0 
Dans un communiqué de presse, Equifax, une agence de déclaration de crédit à la consommation aux États-Unis (considérée comme l'une des trois plus grandes agences de crédit américaines avec Experian et TransUnion), a confirmé avoir été victime d’une violation de données suite à une attaque qui a eu lieu le 29 juillet.

Pour rappel, les sociétés de renseignement de crédit travaillent à réunir des informations sur les personnes contractant un emprunt et émettent à leur propos un « credit score » censé mesurer leur solvabilité. Ce type de société collecte donc de nombreuses données personnelles et financières sur ses clients afin de mesurer leur capacité à rembourser leurs dettes.

Au total, les données de près de 143 millions de clients américains ont été exposées. Les pirates ont eu accès, de mi-mai à juillet, à des informations comme les noms, les adresses, les dates de naissance, les numéros de sécurité sociale et le permis de conduire, autant d’informations qui peuvent servir à une usurpation d’identité.

Equifax a également précisé que les cybercriminels étaient parvenus à accéder aux numéros de carte de crédit de 209 000 citoyens américains. Ils ont également pu mettre la main sur plus de 180 000 dossiers de crédits.

L’agence a été sous le feu de la critique notamment par rapport à la façon dont elle a géré cet incident. Tout d’abord, l’agence, qui dispose d’un chiffre d’affaires de 2,7 milliards de dollars, a créé un site Web qui s’appuie sur un simple WordPress sur un hébergement standard avec le certificat gratuit SSL pour proposer aux clients de vérifier si votre compte a été piraté. En somme, un site qui n’est pas sécurisé et vous demande votre nom et votre numéro de sécurité sociale.

Le comble est que pour la plupart des informations que vous entrez, le site va vous dire : « Merci ! Sur la base des informations que vous avez fournies, nous pensons que vos informations personnelles auraient pu être impactées par cet incident. »

En outre, Equifax a annoncé avoir recruté une firme de sécurité informatique indépendante pour gérer la brèche : il s’agit de Mandiant, qui a été racheté par FireEye. L’annonce officielle de la brèche d’Equifax date de quelques jours, mais certains supposent qu’il y avait des personnes qui la connaissaient et qui ont voulu en profiter.

Cette hypothèse a été formulée notamment à cause du nom de domaine appelé equihax qui a été enregistré le 5 septembre 2017. La personne qui l’a enregistré s’appelle Brandan Schondorfer. Une simple recherche Google montre que Brandan Schondorfer travaille pour Mandiant. En clair, un employé d’une firme de sécurité, censé gérer l’une des pires brèches de sécurité dans l’histoire, a créé un site qui s’apparente à une tentative de Phishing.

Néanmoins, il se pourrait que Mandiant ait enregistré ce nom de domaine pour couper l’herbe sous le pied des cybercriminels et éviter qu’il ne tombe entre leurs mains. Néanmoins, il faut rappeler que pour cette technique, les cybercriminels peuvent utiliser des dizaines de noms de domaine à la place. Il serait donc plus intéressant de tous les réserver pour renforcer la crédibilité de cette hypothèse.

Au passage, notons que pendant les deux mois qui ont précédé cette annonce, les dirigeants auraient vendu massivement leurs actions qui ont d’ailleurs perdu 19 % de leur valeur dans les échanges d‘après-bourse juste après ce communiqué.

Le groupe a ouvert une enquête et coopère avec les autorités fédérales américaines. Le FBI suit la situation, a confirmé une porte-parole de l‘agence de renseignement intérieur.

Source : Reuters, Housenia

Et vous ?

Qu'en pensez-vous ?

Mise à jour du 16/09/2017 : Le DSI d'Equifax démissionne à la suite d'une violation massive des données

Dans un communiqué, l’entreprise a annoncé ce vendredi que deux de ses cadres supérieurs ont donné leur démission :

« La société a annoncé que le DSI et le chef de la sécurité démissionnent. Mark Rohrwasser a été nommé DSI par intérim. Rohrwasser a rejoint Equifax en 2016 et a dirigé les opérations internationales de commerce d'Equifax depuis cette date. Russ Ayres a été nommé responsable de la sécurité par intérim. Ayres a récemment occupé le poste de vice-président de l'organisation informatique d'Equifax. Il rendait des comptes directement au DSI. Cette décision est effective immédiatement. »

La veille, Equifax avait pointé du doigt une faille dans Apache Struts qui aurait été utilisée par des pirates pour accéder aux informations de 143 millions de ses clients américains

Source : Equifax

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de DotNetMatt
Modérateur https://www.developpez.com
Le 15/09/2017 à 23:39
C'est risible, les mecs avaient quand meme un systeme avec les identifiants par defaut admin / admin

Voir ici : How Equifax got Hacked ou encore ici : Ayuda! (Help!) Equifax Has My Data!
8  0 
Avatar de jpouly
Membre averti https://www.developpez.com
Le 18/09/2017 à 14:19
J'aime bien ces recommandations d'Apache :

Citation Envoyé par Stéphane le calme Voir le message
3. Tout logiciel complexe comporte des failles. Ne créez pas votre politique de sécurité en supposant que le support des produits logiciels est impeccable, en particulier en termes de vulnérabilités de sécurité
4. Établissez des calques de sécurité. C'est une bonne pratique d'ingénierie logicielle pour avoir des couches sécurisées individuellement derrière une couche de présentation publique telle que la structure Apaches Struts. Une violation de la couche de présentation ne devrait jamais permettre l'accès à des ressources importantes ou même à toutes les ressources d'information de back-end
Avant de dire que tel ou tel composant a permit le piratage, il faudrait peut être commencer à isoler l'accès aux données du reste .
Et surtout ne pas croire que le piratage, c'est pour les autres .
5  0 
Avatar de DotNetMatt
Modérateur https://www.developpez.com
Le 11/09/2017 à 21:09
C'est dingue. Surtout que la note d'Equifax a ete rabaissee a 'F' pas longtemps avant l'attaque. A cela il faut rajouter que des dirigeants d'Equifax dont le CFO ont revendu des actions juste avant que la faille ne soit communiquee au grand public... Sans compter leur communication plus que pitoyable.

D'apres pas mal d'articles des enquetes ont commence donc on peut esperer une class action bientot. Pour ma part, aucun article ne releve la presence de donnees de residents Francais mais le site qui a ete mis en place pour verifier cela indiquait que je pouvais avoir ete touche, sans en dire plus...

Il est quand meme hallucinant de voir qu'une societe faisant partie des "Big Three" (les 3 bureau de credit) puissent continuer a operer avec des donnees aussi sensibles et avec une note 'F' en securite.
3  0 
Avatar de Namica
Membre expérimenté https://www.developpez.com
Le 27/09/2017 à 1:26
Tu joues avec la sécurité de tes clients au nom de la rentabilité au profit des actionnaires qui t’ont mis à ton poste et en vue de tes bonis d'exploitation ?
Ben oui, c'est un dilemme, mais là, tu as tout perdu, et pas seulement tes "incentives".
En outre, comment vas-tu retrouver du boulot après une telle tache ?
  • Avis à tous les décideurs de budget, compétents ou non : on ne doit pas badiner avec la sécurité, c'est votre siège éjectable.
  • Avis à tous les chefs de projet, compétents ou non : ben, même remarque.
  • Avis à tous les maillons de la chaine : devinez quoi ?

Euh, à qui confiez-vous vos économies ? A des sociétés (Cie d'assurances, Banques, Bourse, ... ) qui investissent dans des entreprises et les pressent comme un citron pour maximiser leur rentabilité court terme ?
Tout comme vous avez choisi votre placement pour sa rentabilité et son rendement en vue de votre retraite ?

Je pense que nous sommes gouvernés par les fonds de pensions, lesquels vu la concurrence, mettent une néfaste pression sur une rentabilité à court terme des entreprises.
L'ironie de l'affaire c'est que si nous ne sommes pas d'accord avec cette attitude, quel fond de pension choisir/privilégier pour placer notre épargne ?
(pour ceux qui peuvent épargner un petit peu, of course)
J'ai bien quelques idées, mais je préfère lancer d'abord le débat avant de les exposer.
3  0 
Avatar de Volgaan
Membre confirmé https://www.developpez.com
Le 14/11/2017 à 16:32
Rappelons que, selon les enquêtes de l’entreprise, ce piratage a été possible à cause d’une faille détectée dans Struts, le Framework web utilisé par l’entreprise pour développer son application web.
Parce que Struts n'avait pas été mis à jour alors que le patch qui corrigeait cette faille était disponible depuis mars. C'est une précision importante
3  0 
Avatar de cdubet
Membre actif https://www.developpez.com
Le 29/09/2017 à 15:30
le pire c est qu une fois la fuite connue en interne, les dirigeants se sont empresses de revendre leurs actions vant que le grand public le sache
1  0 
Avatar de Jon Shannow
Membre extrêmement actif https://www.developpez.com
Le 29/09/2017 à 16:00
La Société Générale pourrait peut-être leur revendre Jérôme Kerviel, c'est un concept qui a pas mal marché pour eux...
1  0 
Avatar de cdubet
Membre actif https://www.developpez.com
Le 29/09/2017 à 15:34
faut pas s inquieter pour eux, avec ce qu ils ont touche, ils n ont plus besoin de travailler.

Le dilemme est plutot tu economise sur la securité, tu gagnes beaucoup mais tu as une chance non nulle de sauter si scandale non etouffé ou tu ne tires pas sur la corde et tu ne gagnes rien (car on mettra a ta place un gars qui lui n aura pas tes scrupules)

PS: a niveau des dirigeants, combien sont issus de fonction technique ou ont une compréhension minimale des problemes ?
0  0 
Avatar de marsupial
Membre expert https://www.developpez.com
Le 12/11/2017 à 21:38
87,5 millions de dollars, c'est à la fois beaucoup et très peu. Tout dépend de leur utilisation. Et à ce que j'en vois de la situation, cela va sûrement faire juste.
Mais bon ils ont 240 recours collectifs à gérera.

Édit : ils partent d'aussi loin que France 5, je crois, qui depuis son hack de 2015, remet une couche chaque année, mois, jours de sécurité sans voir le bout du tunnel. Et cela fait trop de boulot et de frais.
0  1 
Avatar de Aeson
Nouveau Candidat au Club https://www.developpez.com
Le 12/09/2017 à 12:41
C'est pas OpenSource ? La communauté n'a pas vu la faille ?
3  13