Vol massif de données : Equifax évoque un point faible dans un logiciel open source

Equifax cherche à saisir comment les données personnelles de 143 millions de consommateurs ont été propagée après la découverte d’une brèche de sécurité IT qui a été exploitée entre mi-mai et juillet.

Révélée la semaine dernière (voir article sur ITespresso.fr), cette affaire affectant l’importante firme américaine d’évaluation de crédit prend de l’ampleur sur plusieurs fronts.

On recense déjà deux douzaines de procédures enclenchées par diverses parties, le soutien de 40 Etats d’Amérique dans une enquête visant à éclaircir les conditions de ce vol massif de données et des explications à fournir devant une délégation de membres de la Chambre des Représentants au Congrès.

Il faudra également rassurer les consommateurs au regard des campagnes de phishing susceptibles d’être lancées en exploitant les données aspirées (nom, date d’anniversaire, adresse postale, numéros de sécurité sociale et de licence de permis de conduire).

Le Canada et le Royaume-Uni regardent aussi l’impact de cette brèche de sécurité IT sur la protection des données personnelles.

La situation demeure confuse au regard des nouveaux éléments qui s’imbriquent : selon Radio Canada, 36 sénateurs américains demandent à l’administration Trump d’enquêter sur la vente par trois dirigeants d’Equifax d’environ d’actions de la firme de crédit…juste avant la révélation de cette perte gigantesque de données.

Dans une réactualisation en date du 13 septembre de son fil d’information dédié au renforcement de la sécurité, Equifax fournit un élément intéressant sur le vecteur d’attaque présumé : « une vulnérabilité sur un serveur Web à travers le logiciel open source Apache Struts » (présenté comme un framework libre servant au développement d’applications web Java EE).

Outre une investigation au sein d’Equifax qui a été lancée avec l’appui d’une firme de sécurité IT, la police fédérale enquête également de son côté.