Septembre 2017: Brèches de sécurité

October 3, 2017 · 830 words · 4 minutes read · Information Security

This post was published when this blog was also in French. This post is available in English.

Septembre 2017 a été un mois intéressant pour plusieurs brèches importantes de sécurité. Nous avons tous appris la valeur de nos informations personnelles. À partir de maintenant, je vais publier un billet mensuel au sujet des brèches importantes de sécurité du mois précédent.

Equifax

Equifax est un des plus importants bureaux de crédits et ils ont eu un accès récurrent non autorisé à leurs systèmes du 13 mai au 30 juillet 2017. Les équipes techniques étaient même avisées de la principale vulnérabilité exploitée puisqu’une note a même été distribuée à l’interne le 9 mars afin de corriger celle-ci (Apache Structs CVE-2017-5638). L’équipe de sécurité a détecté la situation uniquement le 29 juillet. Le PDG a appris la situation le 31 juillet et les administrateurs ont obtenu les informations le 24 et 25 aout. Finalement, c’est seulement le 7 septembre que Equifax a divulgué publiquement la brèche de sécurité.

143 millions (143 000 000, oui, avec six zéros) enregistrements sur des citoyens américains ont été obtenus, incluant noms, numéros d’assurance sociale (NAS), dates de naissance, et même certains permis de conduire. Après l’investigation par une firme de sécurité, le nombre final est de 145.5 millions, et inclut maintenant des numéros de cartes de crédit pour environ 209 000 clients. Au Canada, on est un peu plus chanceux puisque le nombre initial était de 100 000 clients, mais après investigation, le nombre révisé est de “seulement” 8 000 clients.

Le PDG a pris une retraite anticipée avec plusieurs exécutifs incluant le Chief Information Officer (CIO) et le Chief Security Officer (CSO). Equifax sera également la cible de plusieurs poursuites judiciaires, autant aux États-Unis qu’au Canada. L’ancien PDG devra même témoigner devant le Congrès américain. Il y a aussi quelques interrogations des régulateurs suite à la vente des actions de certains exécutifs lors de la détection de la brèche de sécurité. Toutefois, ces transactions ont été effectuées avant la divulgation publique de la situation et ces personnes pourraient donc faire face à des accusations pour délits d’initiés.

US Securities and Exchange Commission (SEC)

Cette agence fédérale américaine est principalement responsable de faire respecter les lois sur les valeurs mobilières et de réglementer cette industrie. La Commission a découvert une vulnérabilité applicative en 2016 et a été “rapidement” corrigée. Toutefois, la SEC a divulgué un incident possible puisqu’il aurait possiblement eu un accès non autorisé avant de mettre en place le correctif. Cette fois-ci, aucun accès à des renseignements personnels, mais à des informations sensibles n’étant pas encore publiques sur des compagnies. Une déclaration officielle a été publiée le 21 septembre.

Deloitte

Une des firmes comptables parmi les “Big 4” a aussi été la cible ce mois-ci. La nouvelle a été publiée par le Guardian le 25 septembre. Deloitte est souvent la firme, parmi les “Big 4”, la plus reconnue pour ses services en cybersécurité. Les clients de la firme incluent 80% des organisations du Fortune 500. Il y a eu un accès non autorisé sur le serveur global de courriels de la firme hébergé avec le service infonuagique de Microsoft Azure. Et ce, probablement depuis octobre ou novembre 2016.

Rien de trop compliqué cette fois, les pirates informatiques ont simplement obtenu les informations de connexion concernant un compte administrateur. Par la suite, il était possible de se connecter directement au serveur de courriels ayant un accès aux courriels des 244 000 employés de Deloitte. Plusieurs courriels devaient probablement contenir plusieurs informations sensibles sur leurs clients et même des pièces jointes intéressantes. Le système n’a pas été compromis avec des connaissances techniques avancées, mais bien par des techniques d’ingénierie sociale dans le but d’obtenir les informations de connexion. De plus, sans authentification à deux facteurs (2FA), il était simple de se connecter à distance.

Sonic

Sonic est une chaine importante de restauration rapide aux États-Unis avec près de 3600 restaurants. Brian Krebs a été le premier à signaler cette brèche de sécurité le 26 septembre. En fait, le processeur de paiement pour les cartes de crédit de la chaine a informé celle-ci des activités inhabituelles en lien avec leurs transactions. Le détail de cette brèche de sécurité n’est pas encore connu. Toutefois, il a été possible de retrouver au moins 5 millions de comptes de cartes de crédit et débit en vente en ligne. Ces comptes sont fort probablement en lien avec la brèche chez Sonic.

Whole Foods Market

Whole Foods Market, qui a été acheté par Amazon, a aussi divulgué le 28 septembre que des informations sur les cartes de paiement ont été volées. L’investigation est toujours en cours et on devrait en savoir plus bientôt. Il y a un point très intéressant qui a été mentionné dans le communiqué de presse et c’est le fait que les systèmes en lien avec Amazon.com ne sont pas connectés à ceux de Whole Foods. J’espère bien pour eux, mais bon, ça valait la peine de préciser cette information.