Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Equifax s'est servi du mot « admin » comme identifiant et mot de passe pour accéder à des informations sensibles
Avant le piratage massif de 2017

Le , par Stéphane le calme

11PARTAGES

5  0 
C'est dans un communiqué de presse en septembre 2017 qu'Equifax, une agence de déclaration de crédit à la consommation aux États-Unis (considérée comme l'une des trois plus grandes agences de crédit américaines avec Experian et TransUnion), a confirmé avoir été victime d’une violation de données suite à une attaque qui a eu lieu le 29 juillet de cette année.

Au total, les données de près de 143 millions de clients américains ont été exposées. Les pirates ont eu accès, de mi-mai à juillet, à des informations comme les noms, les adresses, les dates de naissance, les numéros de sécurité sociale et le permis de conduire, autant d’informations qui peuvent servir à une usurpation d’identité.

Equifax a également précisé que les cybercriminels étaient parvenus à accéder aux numéros de carte de crédit de 209 000 citoyens américains. Ils ont également pu mettre la main sur plus de 180 000 dossiers de crédits.

Dans un communiqué, l’entreprise a annoncé le même mois de sa déclaration publique que deux de ses cadres supérieurs ont donné leur démission :

« La société a annoncé que le DSI et le chef de la sécurité démissionnent. Mark Rohrwasser a été nommé DSI par intérim. Rohrwasser a rejoint Equifax en 2016 et a dirigé les opérations internationales de commerce d'Equifax depuis cette date. Russ Ayres a été nommé responsable de la sécurité par intérim. Ayres a récemment occupé le poste de vice-président de l'organisation informatique d'Equifax. Il rendait des comptes directement au DSI. Cette décision est effective immédiatement. »

La veille, Equifax avait pointé du doigt une faille dans Apache Struts qui aurait été utilisée par des pirates pour accéder aux informations de 143 millions de ses clients américains

Une étude réalisée par Vectra a indiqué que, dans le cas d'Equifax, « les pirates ont évité d'utiliser certains outils de piratage qui les auraient exposés à l'équipe de sécurité d'Equifax. Cependant, l'un des outils qu'ils utilisent leur a permis de construire des tunnels cachés de commande et contrôle dans Equifax ». Le rapport indique que cette attaque s'est faite en quatre étapes. D'abord, « le pirate installe plusieurs coquilles web, chacune avec une adresse web différente, ce qui a créé plusieurs tunnels cachés. Si l'un était découvert, les autres pourraient continuer à fonctionner ».

« Une fois à l'intérieur du réseau, les pirates ont le temps de personnaliser les outils de piratage pour exploiter efficacement les logiciels d'Equifax, les requêtes et analyser des dizaines de bases de données pour déterminer lesquelles contenaient les données les plus précieuses ». Cette phase d'attaque est appelée la « reconnaissance ». Ensuite, « les pirates ont utilisé des outils spéciaux pour échapper aux pare-feu, analysant et piratant les bases de données l'une après l'autre tout en stockant des données dans les propres systèmes de stockage de l'entreprise » : c'est la phase d'attaque connue sous le nom de « mouvement latéral ». Enfin, pour la dernière phase d'attaque connue sous le nom « d'exfiltration de données », « les pirates ont collecté une mine de données tellement volumineuse qu'il a fallu les diviser en de petits stocks pour éviter le déclenchement des systèmes de détection des anomalies et de prévention des pertes de données ».


« admin » a été utilisé comme mot de passe et identifiant

Equifax a utilisé le mot « admin » comme mot de passe et nom d'utilisateur pour un portail contenant des informations sensibles, selon un recours collectif intenté devant un tribunal fédéral dans le Northern District of Georgia. « Equifax a utilisé le nom d’utilisateur "admin" et le mot de passe "admin" pour protéger un portail utilisé pour gérer les différends relatifs au crédit, un mot de passe qui "est un moyen infaillible de se faire pirater" », indique la plainte.

La poursuite note également qu'Equifax a admis avoir utilisé des serveurs non chiffrés pour stocker les informations personnelles sensibles et a noté que ces informations étaient accessibles au public.

Selon la plainte, quand Equifax, l'une des trois plus grandes agences d'évaluation du crédit à la consommation, a chiffré les données, « elle a laissé les clés pour déverrouiller le chiffrement sur les mêmes serveurs ouverts au public, facilitant ainsi le retrait du chiffrement des données ».

Le recours collectif a regroupé 373 actions en justice antérieures. Contrairement à d’autres poursuites contre Equifax, celles-ci ne proviennent pas de consommateurs lésés, mais plutôt d’actionnaires alléguant que la société n’a pas divulgué de manière adéquate les risques ou ses pratiques de sécurité.

La poursuite a été intentée par des personnes qui ont acheté des actions d'Equifax entre le 25 février 2016 et le 15 septembre 2017. En septembre 2017, Equifax a annoncé une violation de données exposant les informations personnelles de 147 millions de personnes. La société a conclu un accord de 425 millions de dollars avec la FTC en septembre 2019.

Dans leur plainte, les actionnaires réclament des dommages du fait que leurs investissements ont perdu de la valeur en raison de « plusieurs déclarations fausses ou trompeuses et d'omissions concernant les informations personnelles sensibles détenues par Equifax, de la vulnérabilité de ses systèmes internes à la cyberattaque et de sa conformité aux lois sur la protection des données et aux meilleures pratiques en matière de cybersécurité ».

En mars 2018, Equifax a déposé une requête pour que cette affaire soit abandonnée.

« La plainte du demandeur est dépourvue de faits, ce qui suggère même de manière plausible que les défendeurs étaient au courant de toute information contredisant leurs déclarations publiques au moment où elles ont été faites », peut-on lire dans la requête. « Au lieu de cela, les revendications du demandeur reposent presque entièrement sur la notion non étayée et invraisemblable selon laquelle les défendeurs ont omis sciemment et délibérément de corriger la vulnérabilité logicielle en cause dans l'incident de cybersécurité ».

La requête en irrecevabilité a été rejetée par le tribunal en janvier 2019.

« La cybersécurité d’Equifax était dangereusement déficiente », a déclaré le tribunal. « La compagnie s’appuyait sur une seule personne pour mettre en œuvre manuellement son processus de correction sur l’ensemble de son réseau ». Le recours collectif se poursuit.

Source : plainte, Forbes

Voir aussi :

Les attaques de malware visant des MdP sont à la hausse selon les statistiques de Kaspersky, près d'un million d'utilisateurs concernés au 1S19
Microsoft lance la préversion publique du support de l'identification sans mot de passe à Azure AD, grâce aux clés de sécurité FIDO2
Un quart des principaux CMS, dont WordPress, utilisent la fonction obsolète MD5 comme schéma de hachage de mot de passe par défaut
Avec les normes d'authentification FIDO2 intégrées à Android 7.0+, les utilisateurs pourront s'affranchir des MdP sur leurs applications et sites

Une erreur dans cette actualité ? Signalez-le nous !