Equifax, l’un des trois plus grands services de protection du crédit aux États-Unis, a été attaqué par des pirates informatiques en mai. Ils ont recueilli des données sur 143 millions de personnes, dont le nom complet, l’adresse, la date de naissance et le numéro de sécurité sociale, ainsi que 209 000 numéros de cartes de crédit.
La société a découvert l’une des brèches qui ont permis l’invasion : une vulnérabilité dans ses serveurs web… qui avait été corrigée en mars.
“Nous savons que des criminels ont exploité une vulnérabilité de notre site web pour les Etats-Unis… les Apache Struts CVE-2017-5638”, déclare Equifax dans un communiqué. Apache Struts est largement utilisé par les sociétés Internet, les banques et les agences gouvernementales ; c’est un cadre pour les applications Java qui s’exécutent sur le front-end et le back-end des serveurs web.
Comme l’explique Ars Technica, la défaillance du CVE-2017-5638 a été corrigée le 6 mars. Trois jours plus tard, des pirates informatiques utilisaient déjà la vulnérabilité de masse, essayant d’installer leurs propres applications sur les serveurs touchés. Deux mois plus tard, Equifax a été piraté.
La correction de ce bogue n’est pas vraiment facile. Vous devez télécharger une version mise à jour de Struts et l’utiliser pour recompiler toutes les applications utilisant des versions plus anciennes. Certains sites peuvent comporter des dizaines, voire des centaines d’applications de ce type, et celles-ci doivent être testées de manière approfondie avant d’être mises en ligne.
Il existe bien sûr une alternative plus simple : ne pas mettre à jour Struts, se faire envahir, exposer des données sur 143 millions de personnes, et les avertir de cela quarante jours plus tard ? c’est la voie qu’Equifax a apparemment décidé de suivre.
Il y a également d’autres problèmes de sécurité dans l’entreprise. Le portail des employés d’Equifax en Argentine avait un accès administrateur protégé par la combinaison admin/admin, selon le chercheur en sécurité Brian Krebs. Il a été possible de voir les données des employés et aussi de certaines personnes qui sont passées par l’analyse de crédit. Après avoir été informée, elle a retiré le site de l’antenne.
Selon Reuters, près de 40 États américains se sont associés pour mener une enquête sur Equifax ; et son PDG devra témoigner devant le Congrès le 3 octobre. Une action civile publique a déjà été ouverte.
