Equifax : le bilan s’aggrave

Equifax présente un nouveau bilan de l’attaque ayant visé la société américaine de recouvrement de crédit. Celle-ci a en effet été victime d’une attaque informatique ayant permis à des cybercriminels d’accéder aux données confidentielles de nombreux citoyens américains, sur lesquels Equifax avait rassemblé des informations relatives à leurs capacités de crédit.

Peu de temps après la révélation de l’attaque, Equifax avait déjà donné un premier bilan du nombre de victimes potentielles. Mais celui-ci est aujourd’hui revu à la hausse et s’élève maintenant à 145,5 millions de citoyens américains, soit 2,5 millions de plus que les premières estimations. Ces nouveaux chiffres proviennent de l’estimation faite par la société Mandiant, embauchée par Equifax pour enquêter sur cette cyberattaque. Mandiant estime en revanche que seuls 8000 citoyens canadiens pourraient avoir été affectés par l’attaque, contre les 100.000 initialement annoncés.

 

Des failles laissées béantes


L’ex-PDG d’Equifax, Richard Smith, a également publié ses notes préparatoires à son audition par le Congrès américain prévue pour aujourd’hui comme le rapporte le Monde.fr. Il revient notamment sur l’épineuse question de la responsabilité d’Equifax dans la correction de la faille ayant permis aux cybercriminels d’accéder aux bases de données de la société. Ceux-ci ont ainsi profité de failles présentes au sein d’Apache Struts. Equifax avait déjà expliqué que cette faille de sécurité avait été à l’origine de l’attaque, mais celle-ci avait été corrigée dans un patch par la fondation Apache au début du mois de mars. Un correctif que la société avait apparemment bien identifié, puisqu’une note interne datée du 9 mars signalait l’existence de cette vulnérabilité et invitait les administrateurs à appliquer le patch diffusé par la fondation.

Malgré le règlement interne de l’entreprise, qui prévoit que ce type de faille soit corrigé sous les 48h, celle-ci était apparemment passée entre les mailles du filet. Un scan additionnel réalisé plus tard n’avait pas non plus détecté l’absence de correctif, laissant la faille ouverte pour d’éventuels cybercriminels. Richard Smith explique avoir été informé de l’attaque au 31 juillet, mais assure n’avoir pas eu conscience de l’ampleur de celui-ci avant la fin du mois d’août, date à laquelle il a informé les membres du conseil d’administration.

Le PDG a finalement posé sa démission la semaine dernière et comparaîtra devant le congrès en tant qu’ex PDG de la société. Le dirigeant de transition d’Equifax, Paulino Do Rego Barros Jr, s’est à nouveau excusé de la portée de cette attaque dans un communiqué et assure qu’Equifax continuera à travailler afin d’améliorer et de mettre en place de meilleures pratiques de sécurité.


ZDNet vous accompagne

10 conseils de sécurité pour protéger les données des consommateurs

ZDNet