La société de crédit américaine victime d’une brèche entre mars et juillet 2017 a droit à une volée de bois vert du législateur. Dans un rapport, un comité de la Chambre des Représentants estime que la faille était entièrement évitable et l’entreprise responsable de sa calamiteuse sécurisation de ses systèmes informatiques.
Le Congrès américain est resté sourd à la ligne de défense d’Equifax, qui consistait en grande partie à se dédouaner de la faille de sécurité révélée en septembre dernier et responsable de la compromission des données de 148 millions de citoyens américains sur ses serveurs. Dans un rapport de 96 pages, l’Oversight and Government Reform Committee de la Chambre des Représentants n’est pas tendre avec l’agence de notation de crédit.
Les élus estiment en effet que la faille était « entièrement évitable » et le résultat de l’échec d’Equifax à apprécier les risques en termes de sécurité et à prendre les mesures adéquates pour se prémunir contre les attaques. « Equifax a autorisé l'expiration de plus de 300 certificats de sécurité, dont 79 pour la surveillance de domaines critiques. N'ayant pas renouvelé son certificat numérique expiré pendant 19 mois, Equifax n'a plus aucune visibilité sur l'exfiltration de données pendant la période de la cyberattaque » écrivent les représentants.
En outre, le rapport pointe le « manque de responsabilisation et de structure de gestion », la société n’ayant pas réussi à mettre en place de politique claire en termes de sécurité informatique. Un problème aggravé d’autant plus que sous la direction de Richard Smith, l’ancien CEO déboulonné après les révélations quant à cette faille, Equifax a pratiqué la croissance externe à outrance, rachetant à tout va et récupérant bases de données après bases de données, sans jamais prendre le temps d’aplatir son IT.
Evitable
D’où des « systèmes informatiques complexes et obsolètes », dont la surveillance était chose ardue. L’ensemble de ces facteurs a rendu cette fuite de données possible en exploitant une faille du framework Apache Struts, dont le correctif avait été diffusé en mars, que les analyses des équipes de sécurité d’Equifax ont échoué à détecter. Ce n’est qu’en juillet, lorsque le certificat de sécurité de l’appareil surveillant le trafic du système ciblé par les attaquants a été renouvelé, que l’entreprise a enfin été en mesure de détecter les activités suspectes.
Equifax a réagi à la publication de ce rapport en se disant « profondément déçu que le Comité ait choisi de ne pas nous donner suffisamment de temps pour examiner et répondre à un rapport de 100 pages contenant des informations extrêmement techniques et importantes ». Toutefois, selon la société, le document contient « des inexactitudes importantes » et des « conclusions factuelles contestables ». « Cela sape nos espoirs d'aider le Comité à produire une ressource publique crédible et complète pour ceux qui souhaitent tirer profit de notre expérience de la gestion de l'incident de 2017 ». Une gestion qui avait en effet fait grand bruit tant les errements de la direction d’Equifax ont été nombreux.