cybersécurité

Log4j : vers une issue «à la Equifax» ?

La FTC menace de sanctionner les entreprises qui ne corrigeraient pas Log4j. En toile de fond, une condamnation exemplaire déjà infligée à Equifax.

Pas envie de finir comme Equifax ? Patchez Log4j. La FTC (Commission fédérale du commerce des États-Unis) n’est pas si directe. Mais elle use de cette analogie pour brandir la menace de sanctions contre quiconque ne prendrait pas « les mesures de base » afin d’éliminer les failles récemment découvertes dans ce composant Java.

 

Pourquoi cette référence à Equifax ? Parce qu’une telle négligence a valu à l’agence américaine d’évaluation de crédit une condamnation exemplaire. Elle a notamment dû s’engager à débourser au moins 575 millions de dollars. La conséquence de plusieurs actions en justice à son encontre. En particulier de la part de la FTC, ainsi que de 48 États américains (+ Porto Rico et le district de Columbia).

À la racine, il y a une importante fuite de données personnelles. Bilan : 147 millions d’individus touchés. Essentiellement des résidents des États-Unis, mais aussi des Britanniques et des Canadiens.

Equifax avait officialisé l’incident le 7 septembre 2017. Il affirmait l’avoir détecté quelques semaines en amont (le 29 juillet). Au fil de la procédure en justice, il est apparu que l’équipe sécurité d’Equifax avait fait remonter, dès le mois de mars, une alerte relative à la faille qui allait entraîner le problème. Pas de Log4j au menu, mais une autre brique open source répandue : le framework Apache Struts. La vulnérabilité avait permis l’accès à un fichier sur un serveur web. Et pas n’importe quel fichier : il contenait, en clair, des identifiants admin.

Une « jurisprudence Equifax » ?

Dans le cas d’Equifax, quelles « mesures de base » ont fait défaut ? La FTC et consorts ont notamment pointé :

– L’absence de politique d’application de correctifs
– La non-segmentation des serveurs de base de données une fois constatée la compromission de l’un d’entre eux
– Pas de mécanisme robuste de détection des intrusions sur les bases de données héritées

Le tout entrant en contradiction avec la politique de confidentialité d’Equifax. L’entreprise assurait effectivement avoir implémenté les mesures nécessaires pour protéger les données des individus.

Veille-cyber

Recent Posts

Les 7 menaces cyber les plus fréquentes en entreprise

Introduction La cybersécurité est devenue une priorité stratégique pour toutes les entreprises, grandes ou petites.…

2 semaines ago

Cybersécurité : Vers une montée en compétence des établissements de santé grâce aux exercices de crise

Cybersécurité : les établissements de santé renforcent leur défense grâce aux exercices de crise Face…

3 semaines ago

Règlement DORA : implications contractuelles pour les entités financières et les prestataires informatiques

La transformation numérique du secteur financier n'a pas que du bon : elle augmente aussi…

3 semaines ago

L’IA : opportunité ou menace ? Les DSI de la finance s’interrogent

L'IA : opportunité ou menace ? Les DSI de la finance s'interrogent Alors que l'intelligence…

4 semaines ago

Telegram menace de quitter la France : le chiffrement de bout en bout en ligne de mire

Telegram envisage de quitter la France : le chiffrement de bout en bout au cœur…

4 semaines ago

Sécurité des identités : un pilier essentiel pour la conformité au règlement DORA dans le secteur financier

Sécurité des identités : un pilier essentiel pour la conformité au règlement DORA dans le…

4 semaines ago

This website uses cookies.