Equifax : chronologie d’un vol potentiellement en provenance de Chine

Sécurité
journaliste-hacker

Equifax dresse la chronologie des événements qui ont mené

Communiquer publiquement, c’est s’exposer d’autant plus à de nouvelles attaques.

 

Equifax en est arrivé à cette conclusion début septembre lors d’une réunion du conseil d’administration.

C’est tout du moins ce que Richard Smith affirmera ce mardi à la Chambre des représentants du Congrès américain.

L’intéressé s’exprimera à quatre reprises cette semaine au sujet de l’incident de sécurité majeur dont l’agence américaine d’évaluation de crédit – qu’il aura dirigée pendant 12 ans, officialisant son départ le 25 septembre dernier – a été victime.

La transcription de son premier témoignage (document PDF, 8 pages) apporte quelques renseignements sur la chronologie des événements.

Origine Chine ?

Pour ce qui est des responsables de l’attaque, ils ne sont toujours pas connus, selon le discours officiel.

Du côté de Bloomberg, on évoque, sur la foi de « sources internes », deux groupes de pirates liés à l’État chinois. Le premier aurait laissé la main au second une fois ouvert l’accès au réseau d’Equifax.

Le bilan reste celui annoncé à l’origine : plus de 140 millions d’Américains sont concernés par ce vol de données personnelles parmi lesquelles des noms, des dates de naissance, des adresses électroniques et postales, des numéros de sécurité sociale et des numéros de carte bancaire.

La vulnérabilité qui a permis l’intrusion se trouvait dans le framework libre Apache Struts, destiné à développer des applications Web Java EE.

Equifax l’utilisait sur son portail Web de gestion de litiges lorsque le CERT (Computer Emergency Readiness Team) avait émis une alerte à la faille. C’était le 8 mars 2017.

L’équipe informatique rattachée au département américain de la Sécurité intérieure avait enjoint les entreprises à appliquer le correctif idoine. 

Equifax avait diffusé, le lendemain, l’information en interne, avec la consigne de faire la mise à jour sous 48 heures. Problème, selon Richard Smith : « La version vulnérable d’Apache Struts […] n’a pas été identifiée ou patchée« . Une analyse du SI le 15 mars n’a pas donné davantage de résultats.

Deux mois et demi

La première trace d’intrusion remonte pour le moment au 13 mai 2017.

Il a fallu attendre le 29 juillet pour qu’Equifax détecte – et bloque – du trafic suspect sur son portail de gestion des litiges. Une nouvelle activité inhabituelle ayant été repérée le lendemain, ledit portail avait été mis hors ligne, stoppant par là même l’attaque.

Le 31 juillet, Richard Smith est mis au courant par le directeur de l’information. Le surlendemain, Equifax sollicite le cabinet d’avocats King & Spalding et la firme de cybersécurité Mandiant pour mener l’enquête.

L’ampleur des dégâts est véritablement constatée le 11 août. Le CEO d’alors en est notifié quatre jours plus tard et organise, en conséquence, une réunion de crise.

Informé entre le 22 et le 25 août, le conseil d’administration se réunit le 1er septembre et décide de faire une annonce publique le 7.

Marge resserrée

À partir de là, les couacs s’enchaînent. Richard Smith admet que des erreurs ont été commises, mais rappelle qu’il a fallu agir « en moins de deux semaines ».

Il y a d’abord eu le défi de développer un site Web dédié à l’incident. À fin septembre, 420 millions de visites y avaient été enregistrées.

Il a également fallu faire face à l’afflux des demandes en centres d’appels. L’équipe de 500 personnes dépêchée dans ce cadre s’est vite retrouvée « débordée ». Le passage de l’ouragan Irma a compliqué la démarche, entraînant la fermeture de deux call centers en Floride.

Richard Smith l’assure : Equifax a revu son fonctionnement en matière de surveillance du système d’information, de gestion des correctifs ou encore d’accès aux données critiques. Davantage de pare-feu applicatifs ont été mis en place.

Et d’en appeler à un partenariat public-privé pour faire en sorte « que le numéro de sécurité sociale ne soit plus utilisé pour la vérification d’identité » aux États-Unis.


Lire la biographie de l´auteur  Masquer la biographie de l´auteur