Pas envie de finir comme Equifax ? Patchez Log4j. La FTC (Commission fédérale du commerce des États-Unis) n’est pas si directe. Mais elle use de cette analogie pour brandir la menace de sanctions contre quiconque ne prendrait pas « les mesures de base » afin d’éliminer les failles récemment découvertes dans ce composant Java.
Pourquoi cette référence à Equifax ? Parce qu’une telle négligence a valu à l’agence américaine d’évaluation de crédit une condamnation exemplaire. Elle a notamment dû s’engager à débourser au moins 575 millions de dollars. La conséquence de plusieurs actions en justice à son encontre. En particulier de la part de la FTC, ainsi que de 48 États américains (+ Porto Rico et le district de Columbia).
À la racine, il y a une importante fuite de données personnelles. Bilan : 147 millions d’individus touchés. Essentiellement des résidents des États-Unis, mais aussi des Britanniques et des Canadiens.
Equifax avait officialisé l’incident le 7 septembre 2017. Il affirmait l’avoir détecté quelques semaines en amont (le 29 juillet). Au fil de la procédure en justice, il est apparu que l’équipe sécurité d’Equifax avait fait remonter, dès le mois de mars, une alerte relative à la faille qui allait entraîner le problème. Pas de Log4j au menu, mais une autre brique open source répandue : le framework Apache Struts. La vulnérabilité avait permis l’accès à un fichier sur un serveur web. Et pas n’importe quel fichier : il contenait, en clair, des identifiants admin.
Dans le cas d’Equifax, quelles « mesures de base » ont fait défaut ? La FTC et consorts ont notamment pointé :
– L’absence de politique d’application de correctifs
– La non-segmentation des serveurs de base de données une fois constatée la compromission de l’un d’entre eux
– Pas de mécanisme robuste de détection des intrusions sur les bases de données héritées
Le tout entrant en contradiction avec la politique de confidentialité d’Equifax. L’entreprise assurait effectivement avoir implémenté les mesures nécessaires pour protéger les données des individus.
Photo d’illustration © monsitj – Adobe Stock
Un an et demi après sa publication initiale, le RGESN est mis à jour. Tour…
Le régulateur britannique de la concurrence renonce à une enquête approfondie sur le partenariat de…
À partir de juillet 2024, Microsoft imposera progressivement le MFA pour certains utilisateurs d'Azure. Aperçu…
La pépite française de l'informatique quantique Pasqal va installer un ordinateur quantique de 200 qubits…
Le fonds de pension australien UniSuper a vu son abonnement Google Cloud supprimé - et…
OpenAI orchestre un déploiement très progressif de GPT-4o, y compris de ses capacités multimodales.