Le piratage massif de données d'Equifax ne lui a coûté pour l'instant que 87,5 millions de dollars,
L'entreprise n'a perdu aucun de ses gros clients

Le , par Stéphane le calme, Chroniqueur Actualités
En septembre dernier, Equifax, une agence de déclaration de crédit à la consommation aux États-Unis (considérée comme l’une des trois plus grandes agences de crédit américaines avec Experian et TransUnion), a confirmé avoir été victime d’un accès non autorisé à sa base de données contenant 143 millions de ses clients américains. Un incident dont les répercussions sont à relativiser.

En effet, durant une conférence avec les investisseurs pour donner des résultats financiers du troisième trimestre de 2017, les dirigeants d'Equifax ont déclaré que la société avait engagé des dépenses de 87,5 millions de dollars liées à cet incident. Dans le détail, l’entreprise a dépensé 55,5 millions de dollars en coûts de produits, 17,1 millions de dollars en réponse aux incidents et autres honoraires professionnels et 14,9 millions de dollars en soutien à la clientèle.

La direction d'Equifax a également déclaré qu’elle s'attend à des coûts supplémentaires générés par cette brèche dans une fourchette comprise entre 56 et 110 millions de dollars dans les mois à venir. Ces coûts représentent le « passif éventuel » qui correspond aux obligations potentielles de remboursement à des tiers de dégâts matériels ou aux personnes en cas de survenue d'un évènement impliquant la responsabilité de l'entité, jugée peu probable, mais dont les conséquences seraient graves en cas de réalisation. Dans le cas d’espèce, l’entreprise a évoqué la surveillance gratuite du crédit et la protection contre le vol d'identité à l'intention de tous les consommateurs américains en un geste de bonne volonté.

Cela n’inclut donc pas les dépenses afférant aux recours collectifs dont Equifax fait l’objet dans de nombreux États. En tout, l’entreprise fait face à plus de 240 recours collectifs. Cette semaine, un groupe de consommateurs a déposé 180 000 signatures au siège social d'Equifax à Atlanta dans le cadre d'une pétition visant à forcer l'entreprise à fournir de meilleures protections aux utilisateurs pour les utilisateurs touchés par la violation de données.

Les coûts fournis par Equifax sont une estimation des dépenses nécessaires pour fournir ce service à ceux qui se sont inscrits ou qui s'inscriront avant la date limite du 31 janvier 2018. Pour combler ce déficit, le PDG par intérim Paulino Barros a annoncé que les cadres ne recevront aucun bonus pour 2017 « en raison de l'incident de cybersécurité. »

« Nous n’avons pas perdu de contrats », a déclaré Barros durant cet entretien. Bien qu'aucun client majeur n'ait rompu les liens avec le bureau de crédit, certains ont retardé de nouveaux contrats jusqu'à ce qu'Equifax prouve qu'ils en ont fait suffisamment pour consolider leur cybersécurité, une situation qui pourrait nuire aux ventes et aux bénéfices des prochains trimestres, a commenté Barros.

Equifax a également dépensé jusqu'à 75 millions de dollars pour moderniser ses services informatiques, et l'investissement dans la cybersécurité pourrait également toucher les résultats du prochain trimestre, a déclaré John Gamble, directeur financier de la société.

Même cela ne suffirait peut-être pas pour empêcher de futurs hacks, a averti l'entreprise : « Nous ne pouvons pas garantir que toutes les causes potentielles de l'incident ont été identifiées et corrigées et ne se reproduiront plus ». Rappelons que, selon les enquêtes de l’entreprise, ce piratage a été possible à cause d’une faille détectée dans Struts, le Framework web utilisé par l’entreprise pour développer son application web. Au vu de ce commentaire, il apparaît que l’entreprise réalise que d’autres vecteurs d’attaques sont possibles.

« À court terme, la direction devra convaincre les clients sceptiques et les nouvelles perspectives commerciales que ses défenses en matière de cybersécurité se soient renforcées pour convertir les reports de contrats en bénéfices et flux de trésorerie réels », a déclaré David Togut, analyste chez Evercore ISI.

Source : NYP, Consumer Union (pétition avec les 180 000 signatures), Bloomberg, Equifax résultats financiers (en PDF)

Voir aussi :

Les entreprises victimes de piratage devraient-elles être autorisées à faire de même en légitime défense ? Non, selon l'ancien directeur de la NSA


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de marsupial marsupial - Membre émérite https://www.developpez.com
le 12/11/2017 à 21:38
87,5 millions de dollars, c'est à la fois beaucoup et très peu. Tout dépend de leur utilisation. Et à ce que j'en vois de la situation, cela va sûrement faire juste.
Mais bon ils ont 240 recours collectifs à gérera.

Édit : ils partent d'aussi loin que France 5, je crois, qui depuis son hack de 2015, remet une couche chaque année, mois, jours de sécurité sans voir le bout du tunnel. Et cela fait trop de boulot et de frais.
Avatar de Volgaan Volgaan - Membre averti https://www.developpez.com
le 14/11/2017 à 16:32
Rappelons que, selon les enquêtes de l’entreprise, ce piratage a été possible à cause d’une faille détectée dans Struts, le Framework web utilisé par l’entreprise pour développer son application web.
Parce que Struts n'avait pas été mis à jour alors que le patch qui corrigeait cette faille était disponible depuis mars. C'est une précision importante
Avatar de Bill Fassinou Bill Fassinou - Chroniqueur Actualités https://www.developpez.com
le 21/06/2018 à 19:29
Cybersécurité : comment l'attaque contre Equifax en 2017 a-t-elle pu être possible ?
Voici l'état des lieux de la cybersécurité après cette attaque

La cybersécurité est l'ensemble des dispositifs juridiques, technologiques et humains qui peuvent être utilisés pour protéger les personnes et les actifs informatiques matériels et immatériels. Elle existe pour contrecarrer les différentes attaques en provenance de l'internet (la cybermenace). Les pirates s'en prennent aussi bien aux particuliers qu'aux entreprises pour leur voler des données personnelles ou de l'argent. Equifax, une des plus grandes agences de déclaration de crédit à la consommation aux États-Unis a été victime d’une violation de données suite à une attaque qui a eu lieu le 29 juillet 2017. Plusieurs données ont été dérobées : 145,5 millions de numéros de sécurité sociale, environ 17,6 millions de numéros de permis de conduire, 20,3 millions de numéros de téléphone, et 1,8 million d'adresses e-mail.

Malgré toutes les mesures sécuritaires que prennent les entreprises, les pirates parviennent toujours à trouver le moyen de les contourner. Cela est parfois dû au manque de vigilance des entreprises dans l'application des correctifs sécuritaires dans leurs installations. Mais la cybermenace persistante vient aussi de l'agilité des hackers à se fondre dans la masse des employés de l'entreprise victime. Chris Morales, responsable de l'analyse de sécurité à Vectra explique que « chaque entreprise a un profil de comportement de réseau et d'utilisateur qui se rapportent à des modèles commerciaux spécifiques ». Il précise que « les pirates vont imiter et se fondre dans ces comportements, ce qui les rend difficiles à identifier ».

Les entreprises spécialisées dans les services financiers investissent le plus dans la cybersécurité. Elles disposent d'importants moyens financiers et humains pour assurer la sécurité des données financières, mais la cybermenace constitue une réalité à laquelle elles font face au quotidien. Aux grands remèdes, les grands maux, pourrait-on dire. Selon un rapport de Vectra sur les services financiers, « la Bank of America investit plus de 600 millions de dollars dans la cybersécurité par an et a déclaré qu'elle a un budget illimité pour se battre contre les cyberattaques et JPMorgan Chase dépense 500 millions de dollars par année pour la cybersécurité ».


Comment les pirates parviennent-ils à mener une cyberattaque malgré les mesures sécuritaires ?

Une étude réalisée par Vectra indique que dans le cas d'Equifax par exemple, « les pirates ont évité d'utiliser certains outils de piratage qui les auraient exposé à l'équipe de sécurité d'Equifax. Cependant, l'un des outils qu'ils utilisent leur a permis de construire des tunnels cachés de « commande et contrôle » dans Equifax ». Le rapport indique que cette attaque s'est faite en quatre étapes. D'abord, « le pirate installe plusieurs coquilles web, chacune avec une adresse web différente, ce qui a créé plusieurs tunnels cachés. Si l'un était découvert, les autres pourraient continuer à fonctionner ». Cette phase d'attaque est connue sous le nom de « commande et contrôle ».

« Une fois à l'intérieur du réseau, les pirates ont le temps de personnaliser les outils de piratage pour exploiter efficacement les logiciels d'Equifax, les requêtes et analyser des dizaines de bases de données pour déterminer lesquelles contenaient les données les plus précieuses ». Cette phase d'attaque est appelée la « reconnaissance ». Ensuite, « les pirates ont utilisé des outils de tunnellisation spéciaux pour échapper aux pare-feu, analysant et piratant les bases de données l'une après l'autre tout en stockant des données dans les propres systèmes de stockage de l'entreprise » : c'est la phase d'attaque connue sous le nom de « mouvement latéral ». Enfin, pour la dernière phase d'attaque connue sous le nom d' « exfiltration de données », « les pirates ont collecté une mine de données tellement volumineuse qu'il a fallu les diviser en de petits stocks pour éviter le déclenchement des systèmes de détection des anomalies et de prévention des pertes de données ».


Qu'en est-il de la cybersécurité après l'attaque d'Equifax ?

Vectra a procédé à l'analyse de l'industrie financière pendant six mois après l'attaque d'Equifax. Les résultats sont toujours aussi inquiétants. Les mesures de cybersécurité sont bien renforcées davantage, mais la menace demeure. Sur 10 000 équipements analysés, Vectra a détecté beaucoup plus de tunnels cachés de « commande et contrôle » dans les services financiers que dans tous les autres services réunis. Il y a aussi deux fois plus de tunnels cachés d'exfiltration de données. Du mois d'août 2017 à janvier 2018, les tunnels HTTP cachés sont passés de 7 pour 10 000 appareils à 16 dans les services financiers. Ce qui frappe plus à l’œil, selon Morales, est « le nombre important de tunnels cachés que les pirates utilisent pour échapper aux contrôles d'accès, aux pare-feu et aux systèmes de détection d'intrusion ».


Ce qui compromet la cybersécurité dans l'utilisation des tunnels cachés, selon le rapport, est qu'« ils sont difficiles à détecter, car les communications sont dissimulées dans plusieurs connexions qui utilisent des protocoles normaux généralement autorisés. Par exemple, les communications peuvent être incorporées sous forme de texte dans les requêtes HTTP-GET, ainsi que dans les en-têtes, les cookies et d'autres champs. Les demandes et les réponses sont masquées parmi les messages dans le protocole autorisé ».

Télécharger le rapport de vectra sur les services financiers

Source : Vectra

Et vous ?

Que pensez-vous de la cybermenace qui devient de plus en plus inquiétante ?
Que peuvent faire les entreprises pour lutter efficacement contre ces attaques ?

Voir aussi

Quels sont les scandales ou ratés dans l'industrie de la technologie qui vous ont le plus marqué en 2017 ? Petit tour d'horizon de l'année écoulée

Sécurité informatique : 26 % des entreprises manquent de temps pour appliquer les correctifs selon une enquête réalisée par Outpost24

Les données de 143 millions d'Américains ont été potentiellement exposées à un piratage d'une société de renseignement de crédit

Le piratage massif de données d'Equifax ne lui a coûté pour l'instant que 87,5 millions de dollars, l'entreprise n'a perdu aucun de ses gros clients
Contacter le responsable de la rubrique Accueil