La faille d'Equifax aurait-elle pu être évitée ?

Par Michael Hall, responsable de la sécurité de l'information

Founded in 1899, Equifax is the oldest of the three largest credit agencies along with the other two being Experian and TransUnion. These companies offer credit and demographic data and services to businesses. They also sell credit monitoring and fraud-prevention services directly to consumers. Consumer information is gathered by these companies even for individuals who never sign up for their services.

The Big Breach

On September 7, 2017 Equifax disclosed their systems had been hacked. The breach, which affected more than 169 million customers worldwide, included access to personal and financial data such as names, addresses, social security numbers, birthdates, driver’s license numbers, credit card numbers and other documents with personal identifying information.
All of this stolen data can be sold on the dark web, an area of the World Wide Web which can be accessed using special software. The dark web allows users to remain anonymous and untraceable. For this reason, it has become a conduit for criminals to buy and sell stolen personal information.
Though the attack began in mid-May, the breach was not observed by Equifax until July 29, 2017, according to Equifax then CEO Richard Smith (resigned September 26, 2017). The hackers exploited a weakness in Apache Struts, web-application software widely used in enterprise computer systems. Apache says a patch to fix the vulnerability was issued on March 7 2017, months before the hack. Apache stated, “The Equifax data compromise was due to their failure to install the security updates provided in a timely manner.”
According to a report by Câblés, a representative of an analytics security firm said Equifax, like other users of the software, should have been aware of a fix for the vulnerability well in advance of the actual breach.
“There were clear and simple instructions of how to remedy the situation. The responsibility is then on companies to have procedures in place to follow such advice promptly,” Bas van Schaik, a product manager and researcher at Semmle, an analytics security firm, told Wired.
“The fact that Equifax was subsequently attacked in May means that Equifax did not follow that advice,” van Schaik continued. “Had they done so, this breach would not have occurred.”
René Gielen, the vice president of Apache Struts, told Wired, “Most breaches we become aware of are caused by failure to update software components that are known to be vulnerable for months or even years.”

The Big Impact

Equifax is an information juggernaut that manages huge amounts of data regarding creditworthiness of nearly 100 million companies and a billion individuals in the United States and two dozen other countries.
Smith, the former Equifax CEO, said in a speech at the Terry College of Business at the University of Georgia last month “You think about the largest library in the world … the Library of Congress, we manage almost 1,200 times that amount of content every day, around the world.”
Equifax is now investigating the scope of the breach and working to get back in control. This includes an offer to victims for free identity theft protection and an Equifax credit file monitoring product for one year. Visit the Equifax website to find out if your information was compromised and, if so, follow the necessary steps.

Mettre régulièrement à jour les logiciels de sécurité

The key lesson? All companies with sensitive data on their systems must keep on top of updates to software and operating systems. One part of this is to stay up-to-date with any communications from software suppliers regarding potential problems and solutions for dealing with vulnerabilities.
Whether you are a huge enterprise like Equifax, a small neighborhood storefront or even an individual at home, this is a very important security step that everybody should take.
Hackers are always exploring computer security measures to find and exploit weaknesses. In reaction, security software manufacturers are constantly developing patches and software updates to eliminate threats as they are discovered. If your IT department doesn’t stay diligent, these known weaknesses remain like open doors inviting criminals into your business.
Identify what firewalls, anti-spam, antivirus, antimalware and antispyware software the IT department may have installed company-wide and always insure updates are being installed as they are made available.
Additionally, don’t ever attempt to download any software (security or otherwise) without visiting trusted review sites and researching its legitimacy. Otherwise, you may accidentally download software designed for the purpose of stealing information or damaging computers within your network.

What Victims of the Equifax Breach Can Do

It’s always a good idea to regularly check your credit report to see if any suspicious activity has occurred without your knowledge. If you do see an unauthorized item, immediately call and file a report with your financial institution. You should also file a police report.
The U.S. Federal Trade Commission (FTC) offers more information for individuals who need assistance or are looking for more information.

Additional Cybersecurity Threats

Unpatched software and operating systems are not the only weaknesses that hackers exploit. The different types of malicious attacks are far too numerous to list here, but these are a few common methods.

Ransomware

Ransomware is a growing, dangerous trend in which hackers slip malicious code into an unknowing computer user’s system. The code is used to encrypt the computer’s contents, which will only be unlocked if the user pays the demanded ransom.

Phishing

A lot of people are fooled every day by email messages that look genuine, but aren’t. A phishing attempt uses an email message that looks like it comes from someone you know or from a familiar company. It may even appear to be sent directly from a friend’s email address that has been hacked. Inside the message are links that look normal and inviting, but actually lead to disastrous consequences such as:

• Download malware onto your computer that allows a hacker to access your data
• Direct you to a website that looks exactly like a site you trust, such as Gmail, Paypal or your bank website, but is actually a fake page designed to collect your login information

Learn how to identify phishing attempts and how to protect yourself.

Fake Wireless Access Points

Ever use your laptop to jump online at a coffee shop or hotel using free public Wi-Fi? Do your employees and co-workers do this when they travel for business with devices that hold private company data?
It’s risky and here’s why:
A hacker who is connected to the internet through a legitimate wireless access point (WAP) can easily set up a fake WAP that runs through their computer using a software workaround. This fake WAP then shows up as an available free WiFi connection to the unwary victims who think they are using an internet connection.
Anyone who connects to the hacker’s fake WAP runs all of their online data through the hacker’s computer as it goes to and from the real WAP. The hacker now has access to everything being transmitted. That could include online banking transactions, passwords, credit card numbers, vacation plans, home addresses and even more personal information. And, that’s just a fraction of the data that could be stolen without victims ever knowing.

Password Attack

As you’ve probably guessed, this type of hack involves accessing a victim’s password-protected data using that victim’s real password. Here are two of the most popular ways this attack is run:

• Dictionary attack: The hacker runs through a list of potential passwords until one works. This is why you should never use words like password or easy-to-remember numbers like 1234.
• Brute force attack: The hacker knows the number of characters and runs through all possible character combinations, using specialized software to zip through the possibilities.

Here are twelve tips for a stronger password. Share these tips with with everyone in your company.

Four Steps to Better Company Cybersecurity

From an IT perspective, it’s safe to assume that any and all customer, employee or other personal information needs to be protected from breach or accidental exposure. In order to best maintain company-wide cybersecurity, it is important to have documented policies and procedures.
Les étapes que vous devez suivre en tant qu'informaticien en ce qui concerne les politiques et les procédures de sécurité sont relativement standard, quel que soit le secteur d'activité dans lequel vous travaillez :

1. Analyse des risques

L'analyse des risques, parfois également appelée analyse des lacunes ou évaluation des risques de sécurité, est la première étape de l'élaboration d'une politique de sécurité des données. Les évaluations des risques de sécurité doivent être effectuées chaque année, deux fois par an ou à chaque fois que quelque chose change, comme l'achat de nouveaux équipements ou l'expansion des services de l'entreprise.
L'objectif de l'analyse des risques est de comprendre le système existant et d'identifier les lacunes de la politique et les risques potentiels pour la sécurité. Comme l'explique le SANS Institute, le processus doit permettre de répondre aux questions suivantes :

• Que faut-il protéger ?
• Quelles sont les menaces et les vulnérabilités ?
• Quelles sont les conséquences d'une détérioration ou d'une perte de ces documents ?
• Quelle est la valeur pour l'organisation ?
• Que peut-on faire pour minimiser l'exposition à la perte ou au dommage ?

Zones à examiner pour assurer une sécurité adéquate :

• Configuration des postes de travail et des serveurs
• Sécurité physique
• Administration de l'infrastructure de réseau
• Contrôles d'accès au système
• Classification et gestion des données
• Développement et maintenance des applications
• Menaces existantes et potentielles

Méthodes de sécurité à revoir :

• Accès et authentification : l'accès doit être physiquement inaccessible à toute personne non autorisée.
• Gestion des comptes utilisateurs
• Sécurité des réseaux
• Contrôle
• Séparation des tâches
• Sécurité physique
• Vérification des antécédents des employés
• Accords de confidentialité
• Formation à la sécurité

Les ressources de l'Institut SANS donnent également d'excellentes instructions pour effectuer une analyse approfondie des risques pour votre entreprise.

2. Élaboration de politiques et de procédures

Sur la base des résultats de l'analyse des risques, les politiques et procédures de sécurité pour la protection des données doivent être mises à jour ou, s'il n'y en a pas, rédigées à partir de zéro.
Identifier, développer et documenter :

• Un plan complet décrivant les politiques de sécurité des données
• Responsabilités individuelles du personnel en matière de sécurité des données
• les outils à utiliser pour minimiser les risques, tels que les caméras de sécurité, les pare-feu ou les logiciels de sécurité
• Lignes directrices concernant l'utilisation de l'internet, de l'intranet et de l'extranet

3. Mise en œuvre

Une fois que les politiques et les procédures de votre entreprise ont été identifiées, planifiées et documentées, elles doivent être mises en œuvre et respectées.

• Acheter des logiciels de sécurité et d'autres outils jugés nécessaires.
• Mettre à jour les logiciels et les systèmes d'exploitation existants qui sont obsolètes
• Organiser des programmes obligatoires de formation et de sensibilisation à la sécurité pour tous les employés et exiger des signatures sur les documents à lire obligatoirement.
• Vérifier les antécédents de tous les employés
• Vérifier les fournisseurs tiers pour s'assurer qu'ils maintiennent et documentent des protocoles de sécurité conformes, identiques ou plus robustes que ceux en place dans votre entreprise.

4. Enforcement

Les politiques et procédures de sécurité peuvent être mises en œuvre par le biais de l'éducation et de sanctions. Vous avez peut-être remarqué que la formation relève à la fois de la mise en œuvre et de l'application. Il s'agit de la partie la plus importante de la sécurité de votre entreprise et elle doit être dispensée en permanence.
Des programmes obligatoires de formation et de sensibilisation doivent être prévus pour les employés afin de garantir la protection des données sensibles et confidentielles. Veillez à ce que toute personne susceptible de toucher des données protégées reçoive une formation sur les politiques et les risques actuels, et à ce qu'elle soit tenue au courant des mises à jour des politiques ou de l'identification de nouveaux risques.
Par exemple, assurez-vous que tous les employés concernés sont au courant des escroqueries par hameçonnage, de la manière de les identifier, de ce qu'il faut faire si quelqu'un pense être ciblé et de ce qu'il faut faire s'il est victime d'une telle escroquerie et risque d'exposer des données protégées. Au fur et à mesure de l'apparition de nouveaux types d'escroqueries, envoyez des courriels à l'ensemble de l'entreprise détaillant les méthodes d'identification et de protection.
La deuxième partie de l'application consiste à éliminer la tentation d'ignorer les protocoles et à encourager le respect des règles. Cela peut se faire en imposant des sanctions, financières ou autres, à ceux qui ne respectent pas les procédures importantes.

Thoroughness is Important for Cybersecurity

Although it may be true that the Equifax breach could have been avoided by simply updating software, it is certainly not the only big breach that has occurred and not the only type of security mistake made by businesses. If you want to avoid adding your business or your clients to the data breach stats, data security measures must be thorough.
Saison des impôts : Un jour de paie potentiel pour les pirates informatiques
ITProPortal : Conformité de la sécurité des données - Un guide pour les services informatiques
Little Hits, Big Hacks
12 conseils pour un mot de passe plus fort
Information Age: U.S. Tax Season is Over, but the Danger Isn’t