Fuite de données Equifax
Une vulnérabilité Apache Struts non corrigée a permis à des attaquants d'exfiltrer numéros de sécurité sociale, dates de naissance, adresses et numéros de permis de conduire de 147 millions de consommateurs américains, britanniques et canadiens.
- Victime
- Equifax
- Perte
- $1.38B
- données
- 147.9M
- utilisateurs
- 147.9M
Le 7 septembre 2017, l'agence d'évaluation du crédit américaine Equifax a divulgué que des attaquants avaient exfiltré les renseignements personnels d'environ 148 millions de consommateurs — près de la moitié de la population adulte des États-Unis — au cours d'une intrusion de 76 jours qui a débuté avec un unique serveur Apache Struts non corrigé.
Ce qui s'est passé
En mars 2017, l'Apache Software Foundation a publié CVE-2017-5638, une faille d'exécution de code à distance dans Apache Struts 2. L'équipe de sécurité interne d'Equifax en a été avisée dans les 48 heures mais n'a pas corrigé le portail de litiges consommateurs (onlinedisputes.equifax.com) qui en dépendait. Le 13 mai 2017, les attaquants ont exploité la faille non corrigée, implanté des webshells et commencé à exécuter des requêtes sur les bases de données.
Sur 76 jours, les intrus ont exécuté plus de 9 000 requêtes contre les bases de données internes d'Equifax, exfiltrant les données par fragments suffisamment petits pour ne pas attirer l'attention. Ils ont été aidés par un certificat TLS expiré sur un appareil interne de surveillance réseau — une fois celui-ci périmé, Equifax ne pouvait plus déchiffrer ni inspecter le trafic sortant, ce qui l'a rendu aveugle à l'exfiltration en cours.
La détection est survenue presque par accident le 29 juillet 2017 lorsqu'un administrateur a renouvelé le certificat. En 24 heures, Equifax a constaté les requêtes et entamé sa réponse à incident.
Impact
- 147,9 millions de personnes aux États-Unis, 15,2 millions au Royaume-Uni et plus de 8 000 au Canada ont vu leurs noms, numéros de sécurité sociale, dates de naissance, adresses et (pour une partie) numéros de permis de conduire exposés.
- Pour 209 000 personnes, des numéros de carte de crédit ont également été dérobés.
- Coût total déclaré par Equifax : plus de 1,38 milliard de dollars, dont le règlement de 700 millions de dollars avec la FTC et les procureurs généraux des États en 2019.
- Le PDG, le DSI et le RSSI ont tous démissionné en quelques semaines ; le rapport d'analyse de la commission de surveillance de la Chambre des représentants américaine a conclu que la fuite était « entièrement évitable ».
Attribution
En février 2020, le ministère de la Justice américain a rendu publics des actes d'accusation contre quatre membres du 54e institut de recherche de l'Armée populaire de libération de Chine. Le DOJ a estimé que l'opération relevait d'un effort étatique de collecte de renseignement contre l'agence d'évaluation du crédit américaine, et non d'une activité criminelle à motivation financière. Aucune des personnes inculpées n'a été extradée.
Pourquoi c'est important
Equifax demeure le cas de référence de l'échec de gestion des vulnérabilités à grande échelle : un unique système périmétrique non corrigé, un séjour de plusieurs mois et un angle mort de surveillance ont transformé un correctif connu en la plus grande fuite de données personnelles de la décennie aux États-Unis. L'affaire a également remodelé les attentes réglementaires américaines — la réglementation de cybersécurité du NYDFS et les lois étatiques ultérieures exigent explicitement la correction rapide des vulnérabilités critiques connues sur les systèmes exposés à Internet, avec la chronologie d'Equifax comme contre-exemple dans toutes les présentations de formation.
Impact financier
Coûts déclarés en USD
- Perte d’exploitation$380.0M
- Remédiation$300.0M
- Amendes & règlements$700.0M
Chronologie
L'Apache Software Foundation divulgue publiquement CVE-2017-5638, une vulnérabilité d'exécution de code à distance dans Apache Struts 2.
Le CERT interne d'Equifax reçoit un avis concernant la vulnérabilité, mais le correctif n'est pas appliqué à son portail de litiges consommateurs.
Les attaquants exploitent CVE-2017-5638 sur le portail de litiges d'Equifax et obtiennent un point d'ancrage.
Sur 76 jours, les attaquants exécutent plus de 9 000 requêtes contre les bases de données internes et exfiltrent les données d'environ 148 millions de personnes.
Equifax détecte l'intrusion après avoir renouvelé un certificat TLS expiré sur un dispositif de surveillance réseau, rétablissant l'inspection du trafic chiffré.
Equifax divulgue publiquement la fuite. L'action chute de 35 % dans les jours qui suivent.
Equifax conclut un règlement avec la FTC, le CFPB et 50 États/territoires américains pour un montant pouvant atteindre 700 millions de dollars.
Le DOJ américain inculpe quatre membres de l'Armée populaire de libération de Chine pour l'intrusion.
Sources
- ftc.govhttps://www.ftc.gov/enforcement/refunds/equifax-data-breach-settlement
- justice.govhttps://www.justice.gov/opa/pr/chinese-military-personnel-charged-computer-fraud-economic-espionage-and-wire-fraud-hacking
- oig.equifax.comhttps://oig.equifax.com/2017-cybersecurity-incident-final-report-october-22-2018/
- gao.govhttps://www.gao.gov/products/gao-18-559