Cybersécurité

Log4j : vers une issue «à la Equifax» ?

La FTC menace de sanctionner les entreprises qui ne corrigeraient pas Log4j. En toile de fond, une condamnation exemplaire déjà infligée à Equifax.

Pas envie de finir comme Equifax ? Patchez Log4j. La FTC (Commission fédérale du commerce des États-Unis) n’est pas si directe. Mais elle use de cette analogie pour brandir la menace de sanctions contre quiconque ne prendrait pas « les mesures de base » afin d’éliminer les failles récemment découvertes dans ce composant Java.

 

Pourquoi cette référence à Equifax ? Parce qu’une telle négligence a valu à l’agence américaine d’évaluation de crédit une condamnation exemplaire. Elle a notamment dû s’engager à débourser au moins 575 millions de dollars. La conséquence de plusieurs actions en justice à son encontre. En particulier de la part de la FTC, ainsi que de 48 États américains (+ Porto Rico et le district de Columbia).

À la racine, il y a une importante fuite de données personnelles. Bilan : 147 millions d’individus touchés. Essentiellement des résidents des États-Unis, mais aussi des Britanniques et des Canadiens.

Equifax avait officialisé l’incident le 7 septembre 2017. Il affirmait l’avoir détecté quelques semaines en amont (le 29 juillet). Au fil de la procédure en justice, il est apparu que l’équipe sécurité d’Equifax avait fait remonter, dès le mois de mars, une alerte relative à la faille qui allait entraîner le problème. Pas de Log4j au menu, mais une autre brique open source répandue : le framework Apache Struts. La vulnérabilité avait permis l’accès à un fichier sur un serveur web. Et pas n’importe quel fichier : il contenait, en clair, des identifiants admin.

Une « jurisprudence Equifax » ?

Dans le cas d’Equifax, quelles « mesures de base » ont fait défaut ? La FTC et consorts ont notamment pointé :

– L’absence de politique d’application de correctifs
– La non-segmentation des serveurs de base de données une fois constatée la compromission de l’un d’entre eux
– Pas de mécanisme robuste de détection des intrusions sur les bases de données héritées

Le tout entrant en contradiction avec la politique de confidentialité d’Equifax. L’entreprise assurait effectivement avoir implémenté les mesures nécessaires pour protéger les données des individus.

Veille-cyber

Recent Posts

Sécurité des mots de passe : bonnes pratiques pour éviter les failles

Sécurité des mots de passe : bonnes pratiques pour éviter les failles La sécurité des…

5 jours ago

Ransomware : comment prévenir et réagir face à une attaque

Ransomware : comment prévenir et réagir face à une attaque Le ransomware est l’une des…

6 jours ago

Cybersécurité et e-commerce : protéger vos clients et vos ventes

Cybersécurité et e-commerce : protéger vos clients et vos ventes En 2025, les sites e-commerce…

1 semaine ago

Les ransomwares : comprendre et se défendre contre cette menace

Les ransomwares : comprendre et se défendre contre cette menace En 2025, les ransomwares représentent…

1 semaine ago

RGPD et cybersécurité : comment rester conforme en 2025

RGPD et cybersécurité : comment rester conforme en 2025 Depuis sa mise en application en…

2 semaines ago

VPN : un outil indispensable pour protéger vos données

VPN : un outil indispensable pour protéger vos données Le VPN, ou « Virtual Private…

2 semaines ago

This website uses cookies.