Exposition de documents First American Financial

Le 24 mai 2019, le géant américain de l'assurance-titre et du règlement des transactions immobilières First American Financial Corporation s'est avéré avoir exposé environ 885 millions de documents — l'une des plus vastes expositions de données de l'histoire en nombre d'enregistrements — à travers une faille d'application web trivialement exploitable. Les fichiers exposés contenaient parmi les données personnelles les plus sensibles qui soient : numéros de sécurité sociale, numéros de compte bancaire, dossiers de crédit immobilier et fiscaux, reçus de virements et images de permis de conduire.

Ce qui s'est passé

La cause première était une référence directe à un objet non sécurisée (IDOR) — une forme de contrôle d'accès défaillant. L'application de partage de documents de First American générait des URL contenant un identifiant de document numérique séquentiel, par exemple …/DocumentDisplay.aspx?...&dm=...&numéros.... Quiconque disposait d'un seul lien valide pouvait simplement incrémenter ou décrémenter le numéro dans l'URL pour récupérer le document d'un autre client — sans aucune connexion, authentification ni vérification d'autorisation d'aucune sorte.

Les identifiants étant séquentiels, l'intégralité de l'archive d'environ 885 millions de documents, le plus ancien datant de 2003, pouvait être énumérée automatiquement par un script. Une analyse ultérieure a indiqué que les enregistrements étaient probablement accessibles publiquement depuis au moins mars 2017.

La faille a été signalée à First American le 24 mai 2019 par le journaliste en cybersécurité Brian Krebs, alerté par un promoteur immobilier incapable d'attirer l'attention de l'entreprise. First American a mis l'application concernée hors ligne le même après-midi. Il n'a jamais été confirmé publiquement si des acteurs malveillants avaient massivement récolté l'archive avant la remédiation.

Ce qui a été exposé

Les documents relatifs aux transactions immobilières contenaient :

• Numéros de sécurité sociale
• Numéros de compte bancaire et relevés bancaires
• Dossiers de crédit immobilier et fiscaux
• Reçus et instructions de virement
• Images de permis de conduire

Impact

• Environ 885 millions de documents couvrant 16 ans ont été exposés sans authentification.
• En juillet 2020, le New York Department of Financial Services a déposé des charges au titre de sa réglementation sur la cybersécurité — la première action coercitive sous cette règle — et First American a ensuite accepté un règlement de 1 million de dollars avec le NYDFS.
• En juin 2021, la Securities and Exchange Commission américaine a réglé les charges selon lesquelles First American disposait de contrôles de divulgation inadéquats : les hauts dirigeants signant les déclarations publiques de l'entreprise ignoraient que la propre équipe de sécurité de la société avait signalé la même vulnérabilité des mois plus tôt. First American a payé une amende de 487 616 dollars.

Pourquoi c'est important

First American est le cas d'école du contrôle d'accès défaillant — désormais classé risque n° 1 du Top 10 de l'OWASP. Pas de logiciel malveillant, pas de faille zero-day, pas d'hameçonnage : seulement un identifiant numérique prévisible et une vérification d'autorisation manquante. L'incident est également devenu une référence en matière de responsabilité réglementaire pour la divulgation en cybersécurité. L'action de la SEC a établi que les sociétés cotées doivent veiller à ce que les dirigeants certifiant les divulgations soient effectivement informés des vulnérabilités matérielles connues — faisant de la communication interne entre la sécurité et la direction une question de conformité au droit des valeurs mobilières, et pas seulement d'hygiène informatique.