La FTC menace de sanctionner les entreprises qui ne corrigeraient pas Log4j. En toile de fond, une condamnation exemplaire déjà infligée à Equifax.
Pas envie de finir comme Equifax ? Patchez Log4j. La FTC (Commission fédérale du commerce des États-Unis) n’est pas si directe. Mais elle use de cette analogie pour brandir la menace de sanctions contre quiconque ne prendrait pas « les mesures de base » afin d’éliminer les failles récemment découvertes dans ce composant Java.
Pourquoi cette référence à Equifax ? Parce qu’une telle négligence a valu à l’agence américaine d’évaluation de crédit une condamnation exemplaire. Elle a notamment dû s’engager à débourser au moins 575 millions de dollars. La conséquence de plusieurs actions en justice à son encontre. En particulier de la part de la FTC, ainsi que de 48 États américains (+ Porto Rico et le district de Columbia).
À la racine, il y a une importante fuite de données personnelles. Bilan : 147 millions d’individus touchés. Essentiellement des résidents des États-Unis, mais aussi des Britanniques et des Canadiens.
Equifax avait officialisé l’incident le 7 septembre 2017. Il affirmait l’avoir détecté quelques semaines en amont (le 29 juillet). Au fil de la procédure en justice, il est apparu que l’équipe sécurité d’Equifax avait fait remonter, dès le mois de mars, une alerte relative à la faille qui allait entraîner le problème. Pas de Log4j au menu, mais une autre brique open source répandue : le framework Apache Struts. La vulnérabilité avait permis l’accès à un fichier sur un serveur web. Et pas n’importe quel fichier : il contenait, en clair, des identifiants admin.
Une « jurisprudence Equifax » ?
Dans le cas d’Equifax, quelles « mesures de base » ont fait défaut ? La FTC et consorts ont notamment pointé :
– L’absence de politique d’application de correctifs
– La non-segmentation des serveurs de base de données une fois constatée la compromission de l’un d’entre eux
– Pas de mécanisme robuste de détection des intrusions sur les bases de données héritées
Le tout entrant en contradiction avec la politique de confidentialité d’Equifax. L’entreprise assurait effectivement avoir implémenté les mesures nécessaires pour protéger les données des individus.