Pour gérer vos consentements :

Log4j : vers une issue «à la Equifax» ?

Pas envie de finir comme Equifax ? Patchez Log4j. La FTC (Commission fédérale du commerce des États-Unis) n’est pas si directe. Mais elle use de cette analogie pour brandir la menace de sanctions contre quiconque ne prendrait pas « les mesures de base » afin d’éliminer les failles récemment découvertes dans ce composant Java.

Pourquoi cette référence à Equifax ? Parce qu’une telle négligence a valu à l’agence américaine d’évaluation de crédit une condamnation exemplaire. Elle a notamment dû s’engager à débourser au moins 575 millions de dollars. La conséquence de plusieurs actions en justice à son encontre. En particulier de la part de la FTC, ainsi que de 48 États américains (+ Porto Rico et le district de Columbia).

À la racine, il y a une importante fuite de données personnelles. Bilan : 147 millions d’individus touchés. Essentiellement des résidents des États-Unis, mais aussi des Britanniques et des Canadiens.

Equifax avait officialisé l’incident le 7 septembre 2017. Il affirmait l’avoir détecté quelques semaines en amont (le 29 juillet). Au fil de la procédure en justice, il est apparu que l’équipe sécurité d’Equifax avait fait remonter, dès le mois de mars, une alerte relative à la faille qui allait entraîner le problème. Pas de Log4j au menu, mais une autre brique open source répandue : le framework Apache Struts. La vulnérabilité avait permis l’accès à un fichier sur un serveur web. Et pas n’importe quel fichier : il contenait, en clair, des identifiants admin.

Une « jurisprudence Equifax » ?

Dans le cas d’Equifax, quelles « mesures de base » ont fait défaut ? La FTC et consorts ont notamment pointé :

– L’absence de politique d’application de correctifs
– La non-segmentation des serveurs de base de données une fois constatée la compromission de l’un d’entre eux
– Pas de mécanisme robuste de détection des intrusions sur les bases de données héritées

Le tout entrant en contradiction avec la politique de confidentialité d’Equifax. L’entreprise assurait effectivement avoir implémenté les mesures nécessaires pour protéger les données des individus.

Photo d’illustration © monsitj – Adobe Stock

Recent Posts

Guerre en Ukraine : les PME et ETI redoutent les cyberattaques

Le CESIN publie une étude qui témoigne d’une vraie « cyber-crispation » des dirigeants d’entreprises…

1 heure ago

Logiciels : Broadcom convoite VMware, qui bondit de 20%

Le fabricant américain de semi-conducteurs Broadcom pourrait acquérir VMware, spécialiste de la virtualisation et des…

18 heures ago

Cybersécurité : Microsoft recrute encore pour renforcer ses produits

Microsoft a recruté Jason Roszak, chef de produit réputé, pour optimiser la gestion des serveurs…

19 heures ago

Antennes 5G : Deutsche Telekom explore l’éolien pour les alimenter

Utiliser l’énergie éolienne pour contenir la flambée des coûts de l’électricité en Allemagne, c'est le…

21 heures ago

Souveraineté numérique : le choix de Bruno « Bercy » Le Maire

La compétence "numérique" est étendue aux prérogatives de Bruno Le Maire, reconduit à la tête…

24 heures ago

Windows 11 : Microsoft se rapproche de la disponibilité d’Android 12.1

Microsoft a publié une mise à jour qui permet, pour les testeurs de Windows 11,…

1 jour ago