Equifax
Un serveur Apache Struts non patché a livré les données de crédit personnelles de 147 millions d’Américains — presque la moitié du pays.
Equifax n’a pas de clients au sens habituel. Les personnes dont elle détient les données n’ont rien accepté et ne peuvent rien retirer. C’est tout son modèle économique : agréger l’historique de crédit de pratiquement tous les adultes américains, puis vendre des rapports aux banques, propriétaires et employeurs.
Deux mois d’avance
En mars 2017, l’Apache Software Foundation publie un correctif d’urgence pour une faille de Struts, un framework web Java très utilisé. Les scans internes d’Equifax laissent passer une application exposée au public qui tourne dessus. La vulnérabilité reste ouverte pendant environ deux mois.
Les attaquants la trouvent en mai. Ils se déplacent latéralement dans le réseau d’Equifax, découvrent un fichier non chiffré contenant des identifiants administratifs, et s’en servent pour interroger 51 bases de données internes. Lorsque l’entreprise s’en aperçoit fin juillet, les noms, numéros de sécurité sociale, dates de naissance, adresses et, dans bien des cas, numéros de permis de conduire de 147 millions de personnes ont été exfiltrés.
Une mise en accusation américaine, brièvement
Le département de la Justice américain finit par mettre en accusation quatre membres de l’Armée populaire de libération chinoise, présentant l’intrusion comme une opération de collecte de renseignement pilotée par un État plutôt qu’une fraude classique. Aucune des données dérobées n’est jamais apparue à la vente sur les forums criminels, ce qui a accrédité la thèse.
Ce que la chronique retient
Equifax est l’illustration canonique du problème d’agence dans le courtage de données. Les victimes de la fuite n’avaient aucune relation contractuelle avec l’entreprise qui les concernait, aucun moyen de se retirer de ses fichiers, et aucun recours significatif au-delà d’un accord de transaction qui s’est traduit par quelques dollars par personne.