Vol massif de données persos: Equifax avait déjà été attaqué avant

equifax-alerte-premiere-attaque

Equifax avait identifié un « problème informatique majeur » quelques mois avant la cyberattaque aboutissant au vol massif de données personnelles de consommateurs.

Equifax est loin d’avoir atteint le fond du gouffre. Fin juillet, la firme américaine spécialisée dans l’évaluation de crédits a été victime d’une perte massive de données personnelles de consommateurs. Rendu public courant septembre, l’assaut a affecté 143 millions de personnes. 

Mais cette alerte n’était pas la première détectée dans le courant de l’année.

Alors qu’une enquête interne se poursuit par des experts de sécurité IT Mandiant (groupe FireEye) pour déterminer les contours de la cyberattaque, Equifax admet « un problème informatique majeur » survenu plus tôt…le 29 mars.

Mais la firme se défend en assurant avoir rempli les exigences légales liées à la procédure de notification d’une faille auprès des consommateurs.

La firme américaine que les deux affaires relatives à la cybersécurité ne sont pas liées. Mais on mesure progressivement l’impact du vol massif de données personnelles.

Elle a entraîné de nombreux procédures devant la justice et des explications à fournir devant le Congrès.

Elle suscite aussi des interrogations sur la vente d’actions Equifax par des hauts responsables de la société avant que le vol massif de data soit rendu public. Une enquête au pénal est ouverte sur ce volet.

L’épineux dossier, qui a des répercussions dans d’autres pays comme le Canada et le Royaume-Uni, a également entraîné les départs de deux managers importants en charge des systèmes IT d’Equifax : David Webb, Chief Information Officer (CIO), et de Susan Mauldin, Chief Security Officer (CISO).

Selon les premiers éléments de l’enquête, une faille dans un logiciel open source (Apache Struts) a pu servir de vecteur d’attaque. Elle avait été signalée par la cellule nationale de veille sur la sécurité informatique (US CERT) dès le mois de mars.

« L’équipe de sécurité d’Equifax était consciente de la vulnérabilité à l’époque et a fourni des efforts pour colmater les brèches dans les systèmes vulnérables de l’infrastructure IT de la firme », souligne Equifax dans son fil d’information en continu relative à la cyberattaque. Visiblement, l’effort consenti n’a pas suffi.