L’agence américaine d’évaluation de crédit Equifax a annoncé il y a quelques jours avoir été victime d’un piratage massif ayant débuté en mai par l’exploitation d’une faille de sécurité. La société dispose de données sur plus de 143 millions de citoyens ayant potentiellement été compromises, au même titre que les numéros de carte de crédit d’environ 209 000 consommateurs. Beaucoup se sont insurgés que l’agence a publié l’information aussi tardivement.

« Equifax dispose d’un service d’authentification sécuritaire basée sur la connaissance (« knowledge based authentication »), ce qui correspond aux questions et réponses qui sont posées lors de la création et récupération d’un compte, précise Patrick Harding, CTO de Ping Identity, spécialisé dans la sécurisation des identités. Si je dois réinitialiser un mot de passe, la société me pose des questions pour vérifier qu’il s’agit bien de moi : « Laquelle de ces voitures j’ai possédé ? » « Laquelle de ces maisons j’ai loué ? » Ce service, proposé par Equifax, est considérée comme un filet de sécurité pour plusieurs services d’inscription et authentification auprès de nombreux services en ligne. Si cette information fuite, le filet de sécurité n’a plus d’utilité. Ainsi, les consommateurs deviennent vulnérables à la création et récupération de compte se reposant sur l’authentification basée sur la connaissance d’Equifax. C’est ce qui différencie le cas d’Equifax des autres cas de failles de sécurité. »

 « Les conséquences de cette cyberattaque ne sont guère étonnantes. Les résultats d’une étude conjointe de Skyhigh Networks et de la Cloud Security Alliance, soulignaient en début d’année que suite à une fuite de données les conseils d’administration rejetaient la responsabilité finale des préjudices financiers d’une attaque sur les cadres dirigeants, explique Joël Mollo, Directeur Europe du Sud & Middle East, Skyhigh Networks suite à la démission des DSI et RSSI d’Equifax. Ainsi 29,1 % des personnes interrogées estimaient que le directeur informatique et le RSSI devraient être licenciés en cas d’attaque majeure d’une application. Plus de la moitié (50,3 %) considèrent que le cadre responsable de l’application devrait être démis de ses fonctions. »

 « Pourtant, chaque professionnel du secteur sait qu’en matière de sécurité informatique il est quasiment impossible de tout contrôler (applications, matériels, utilisateurs, process, etc.) surtout lorsque les décideurs doivent travailler avec un budget limité. Il reste à espérer que les sanctions pécuniaires prévues dans le cadre du GDPR contribueront à ce que les besoins des DSI et RSSI soient mieux pris en compte afin d’éviter que la fonction ne devienne impossible à tenir. »