La faille de sécurité chez Equifax : les dernières mises à jour pour mieux vous protéger

Protection des données

Cet article présente les dernières mises à jour concernant la faille de sécurité qui a permis à des cybercriminels d’attaquer l’agence de renseignements de crédit Equifax et ses bases de données clients. Cette cyberattaque a semble-t-il été possible du fait d’une vulnérabilité au sein d’Apache Struts.

equifax

Mises à jour en date du 14/09/17 :

Norm Laudermilch, CISO chez Sophos, a préconisé quatre mesures simples de protection des données personnelles, que vous pouvez mettre en œuvre pour vous assurer que votre famille ne subisse aucun dommage d’un point de vue identité et financier.

***

Equifax a mis à jour sa FAQ, en précisant que la faille de sécurité provenait d’une vulnérabilité dans Apache Struts :

Nous savons que les cybercriminels ont exploité une vulnérabilité visant les applications des sites web aux États-Unis. La vulnérabilité était Apache Struts CVE-2017-5638.  

Nous avions écrit sur CVE-2017-5638, un bug RCE critique (Remote Code Execution) au sein d’Apache Struts, en mars dernier. Le bug a été largement signalé et des correctifs ont été développés depuis le mois de mars, à savoir deux mois avant que Equifax n’ait été attaquée à la mi-mai.

Mises à jour en date du 12/09/17 :

Zack Whittaker de ZDNet rapporte qu’une vulnérabilité XSS (Cross-site scripting) existe sur le site de signalement des fraudes de Equifax.

Ces vulnérabilités XSS permettent aux cybercriminels de créer des liens spécialement conçus pour que des sites web réalisent des actions qu’ils ne sont pas censés réaliser en temps normal, comme par exemple vous envoyer des malwares ou bien dérober vos cookies.

Si vous vous cantonner aux liens officiels, vous ne pouvez pas être touchés par une vulnérabilité XSS. Malheureusement, les seuls liens officiels concernant les sites en question se terminent par .equifax.com et, à ce stade, il semble déraisonnable de faire des hypothèses sur la sécurité de ces derniers.

Si vous souhaitez visiter le site de signalement des fraudes, vous devez entrer https://www.alerts.equifax.com directement dans la barre d’adresse de votre navigateur.

Mises à jour en date du 11/09/17 :

Equifax a déclaré au New York Times qu’il corrigeait les codes PIN erronés qu’il avait émis pour que les clients gèlent leurs dossiers de crédit. Nous avons mis à jour notre article “woeful PINs put frozen credit files at risk” avec les informations que nous avons à l’heure actuelle.

Mises à jour en date du 10/09/17 :

Depuis vendredi, nous recommandons aux personnes touchées par la faille de sécurité chez Equifax de geler les dossiers de crédit (voir la section “Mises à jour à partir en date du 08/09/17” ci-dessous). Les dossiers de crédit gelés ne peuvent être consultés par d’éventuels créanciers, ce qui devrait empêcher les cybercriminels, qui auraient volé votre identité à l’occasion de cette faille de sécurité, d’ouvrir une nouvelle ligne de crédit en votre nom.

Il s’est avéré depuis que les PIN utilisés pour sécuriser les fichiers de crédit gelés n’étaient pas générés de manière aléatoire ni sécurisés afin de les rendre impossible à deviner, à savoir loin de ce à quoi vous pouviez vous attendre en de telles circonstances : ces derniers reprenaient tout simplement la date et l’heure de votre “gel”.

C’est une méthode catastrophique de générer des PIN, mais nous pensons toujours que vous devez absolument geler vos fichiers de crédit, et ces fichiers bénéficieront encore d’un certain niveau de protection, mais vous devez tout de même avoir conscience qu’ils ne seront pas sécurisés comme ils devraient l’être.

Pour en savoir plus sur ce problème, découvrez notre explication dans noter article sur Equifax : “woeful PINs put frozen credit files at risk”.

Mises à jour en date du 09/09/17 :

La confusion à propos d’Apache Struts

Un rapport de William Baird & Co a affirmé que Equifax avait été attaqué par des cybercriminels exploitant une vulnérabilité dans Apache Struts, un framework logiciel pour créer des applications web. Le rapport mentionne seulement Struts rapidemment, et ne fournit aucun détail, en plus de la déclaration suivante :

Notre compréhension est que les données détenues par [Equifax], et principalement générées via les interactions avec les consommateurs, ont été compromises à cause d’une vulnérabilité dans Apache Struts. 

Un analyste au sein de l’entreprise a confirmé cette déclaration, auprès du New York Post, mais sans pour autant fournir plus de détails.

Nous avons communiqué à propos de ces deux vulnérabilités Struts très critiques plus tôt cette année : CVE-2017-5638 en mars dernier, et CVE-2017-9805 le 4 septembre 2017.

Si, comme certaines spéculations semblent le dire, Equifax a été victime à la mi-mai d’une attaque visant la vulnérabilité CVE-2017-9805, alors cette faille de sécurité est apparue 4 mois avant la divulgation publique de son existence. Cela en fait donc une vulnérabilité zero-day, un bug que Equifax ne connaissait pas et ne pouvait pas corriger au moment de l’exploitation de cette dernière.

L’Apache Software Foundation a maintenant publié une longue déclaration qui mentionne ce scénario peu probable (mais pas complètement impossible), et corrige certaines autres inexactitudes dans le signalement de la dernière vulnérabilité Struts. Il ne traite pas de la question centrale à savoir si Equifax a été attaqué via une vulnérabilité Struts, ce qui signifie que jusqu’à maintenant, ni Equifax ni Apache Software Foundation n’ont indiqué que Struts avait joué un rôle dans l’apparition de cette faille de sécurité.

ICO essaie de découvrir qui est touché au Royaume-Uni

Jusqu’à présent, les informations et les conseils en provenance de Equifax se sont concentrés sur les victimes potentielles aux États-Unis. Les personnes au Royaume-Uni et au Canada qui pourrait être affectées sont encore largement dans le flou. L’ICO au Royaume-Uni a maintenant publié une déclaration sur la faille de sécurité chez Equifax qui suggère qu’il est lui aussi dans le flou, tout en essayant néanmoins de clarifier la situation.

La déclaration complète est présentée ci-dessous :

Les signalements concernant des pertes de données significatives au sein de la filiale américaine de Equifax, et l’impact potentiel sur certains citoyens britanniques nous préoccupent vraiment. Nous sommes déjà en contact direct avec Equifax pour établir les faits précisément, y compris le nombre de personnes au Royaume-Uni qui ont été affectées et quel type de données personnelles a peut-être été compromis.  

Nous conseillons à Equifax d’alerter les clients britanniques concernés dès que possible.

Dans les cas de cyberattaques qui traversent les frontières, l’ICO s’engage à travailler avec les autorités compétentes à l’étranger, et ce au nom des citoyens britanniques.

Mises à jour en date du 08/09/17 :

Divers experts cybersécurité ont conseillé aux clients concernés de mettre en place un “gel” de sécurité sur leurs fichiers de crédit chez Equifax. Joe Levy, CTO chez Sophos, est d’accord avec cette préconisation. En fait, il croit que les agences de renseignements de crédit devraient rendre ce processus plus fluide :

Après cet incident, il est temps que les agences de renseignements de crédit facilitent les opérations de “gel” et de “dégel”. Que diriez-vous d’une application qui fonctionne comme les systèmes de notification push concernant l’authentification multi-facteurs, et qui sont si simples à utiliser aujourd’hui ? Je suis prêt à renoncer à ma participation à l’action collective si elles acceptaient cette approche.  

L’idée globale est que le gel est bien meilleur que la surveillance de crédit classique que les entreprises offrent après une perte de données. Comme Brian Krebs de KrebsOnSecurity l’a noté par le passé, les services de surveillance de crédit ne font rien pour empêcher les cybercriminels de voler votre identité. Un gel de sécurité, quant à lui, empêche les créanciers de consulter votre dossier afin, comme l’a souligné Krebs, qu’”une nouvelle ligne de crédit soit accordée aux cybercriminels, et ce en votre nom”.

Il s’agit d’une mesure de prévention qui est plus efficace que le remède lui-même. Levy a déclaré la chose suivante :

La surveillance de crédit est utile, tout comme une alarme qui détecte une intrusion l’est également, mais leurs produits dérivés, à savoir les systèmes de prévention contre les intrusions, fournissent une bien assistance en pratique. Il est temps que les agences de suivi évoluent de la même manière.  

Il existe un site pour ceux qui veulent initier un “gel” avec Equifax.

***

L’histoire originale :

Pour comprendre la gravité de la perte de données chez Equifax, il faut prendre en compte les éléments suivants : les États-Unis ont une population d’environ 324 millions d’habitants. Le fournisseur de services de crédit affirme que la faille de sécurité peut avoir touché jusqu’à 143 millions d’américains : soit presque la moitié de la population qui est potentiellement concernée !

La société a déclaré dans un communiqué que les cybercriminels “ont exploité une vulnérabilité visant les applications des sites web aux États-Unis” pour accéder à certains fichiers :

Sur la base de l’enquête menée par l’entreprise, l’accès non autorisé a eu lieu de la mi-mai à juillet 2017. L’entreprise n’a trouvé aucune preuve d’activités non autorisées au sein des bases de données centrales de renseignements de crédit chez Equifax, qu’elles concernent les particuliers ou les professionnels. 

A quels types de données clients les cybercriminels ont-ils eu accès ? Les noms, les numéros de sécurité sociale, les dates de naissance, les adresses et, dans certains cas, les numéros de permis de conduire, selon Richard Smith, Chairman et CEO de Equifax. Selon lui, il faut aussi ajouter à cette liste des numéros de carte de crédit concernant environ 209 000 consommateurs américains, et certains documents de litige contenant des informations d’identification personnelles (PII), concernant quant à eux environ 182 000 consommateurs américains, qui ont aussi été consultés.

Et ce n’est pas tout. Smith a déclaré :

Dans le cadre de son enquête sur la vulnérabilité de cette application, Equifax a également identifié un accès non autorisé à des informations personnelles limitées et concernant des résidents britanniques et canadiens. Equifax va travailler avec les régulateurs britanniques et canadiens pour définir les prochaines étapes à engager.  

De nombreuses questions

Il existe beaucoup de questions concernant cette faille de sécurité. Bloomberg a rapporté que trois cadres dirigeants chez Equifax ont vendu des actions pour une valeur équivalente à environ 1,8 million de dollars, dans les jours qui ont suivi la faille de sécurité, mais avant la divulgation publique du jeudi. Ces agissements alimentent bien évidement la colère des clients qui veulent des explications.

Equifax devra également expliquer ce que signifie une “une vulnérabilité visant les applications des sites web”. Les cybercriminels ont-ils exploité une vulnérabilité zero-day au sein d’un logiciel du serveur, ou bien un bug déjà connu et pour lequel il existait un patch ? Ou était-ce simplement une vulnérabilité permettant une injection SQL au sein du site web, le même type de vulnérabilité qui avait compromis TalkTalk.

Les spéculations nous disent également que les données compromises avaient été stockées en clair. Cependant, à l’instant où nous écrivons cet article, nous ne pouvons pas confirmer cette information.

Les mesures défensives

Des détails sur les évènements qui se sont vraiment déroulés nous parviendront certainement dans les prochains jours ou prochaines semaines. Pour l’instant, les clients doivent connaitre la marche à suivre pour se protéger. Paul Ducklin et Mark Stockley de Naked Security ont organisé une session Facebook Live cette après-midi pour donner des conseils pratiques. Vous pouvez la visionner ci-dessous :

Nous ne manquerons pas de mettre à jour cet article au fur et à mesure que de nouveaux éléments seront disponibles.


Billet inspiré de Equifax data breach defense: the latest updates, sur Sophos nakedsecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.