Equifax, un foutoir dans un merdier total

Equifax a subi une brèche massive des données de ses utilisateurs. On estime que la majorité des utilisateurs sont concernés, soit 143 millions de personnes qui équivalent à la majorité des adultes américaines. En premier lieu, Equifax connaissait la brèche depuis le mois de juillet et c’est maintenant seulement qu’on l’apprend. En soi, cela peut se justifier, car le débat reste ouvert si on doit donner du temps aux entreprises pour colmater la brèche.¹ Mais cela fait déjà 2 mois et donc, qu’est-ce qu’Equifax a fait pendant tout ce temps ?

Equifax a utilisé un site basique sous WordPress

Il a préparé son annonce publique, mais il l’a fait de telle manière qu’il aurait mieux ne rien faire du tout. L’entreprise a créé un site appelé equifaxsecurity2017.com où les clients peuvent déterminer s’ils sont concernés par cette brèche. Le site equifaxsecurity2017.com utilise un simple WordPress sur un hébergement standard avec le certificat gratuit SSL.² J’aurais pu crée ce site en 2 heures chrono incluant la configuration du serveur. Mais Equifax, avec un chiffre d’affaires de 2,7 milliards de dollars et 9 000 employés dans 14 pays, a eu besoin de près de 40 jours pour créer le site le plus basique qui existe. Et le nom de domaine était configuré sur CloudFlare, donc un WHOIS quasi anonyme, le comble pour une agence de crédit. Et ce site basique, pas sécurisé pour un sou, vous demandait votre numéro de sécurité social ce qui est la tactique utilisée par un site de Phishing.

Le jour de l’annonce de la brèche, Equifax annonce fièrement que la protection des données de ses utilisateurs est cruciale pour l’entreprise

Mais le pire est que le site était tellement configuré à la pisse que vous pouviez entrer n’importe quelle information, mais le site vous disait systématiquement que votre compte a été piraté. En gros, vous pouvez fournir votre numéro de sécurité sociale, mais également des termes comme “123456” ou “test” et le site vous répondait la même chose.³ Equifax avait chargé la firme de relations publiques Edelman PR de gérer ce foutoir. Comment l’a-t-on appris ?

Un site d’Equifax avec une base de données facilement accessible montrant le nom d’utilisateur – Crédit : krebsonsecurity.com

Et bien en fait, le site equifaxsecurity2017.com permet d’accéder librement à sa base de données qui avait un seul utilisateur nommé Edelman.

Quand une firme de sécurité exploite la brèche d’Equifax pour du trafic

Mais ce n’est pas le pire. Equifax a annoncé qu’il avait recruté une firme de sécurité informatique indépendante pour gérer la brèche. La firme était Mandiant qui a été racheté par FireEye. L’annonce officielle de la brèche d’Equifax date de quelques jours, mais il semble qu’il y avait des personnes qui la connaissaient et qui ont voulu en profiter. Ainsi, on a un nom de domaine appelé equihax qui a été enregistré le 5 septembre 2017. La personne qui l’a enregistré s’appelle Brandan Schondorfer. Une simple recherche Google montre que Brandan Schondorfer travaille pour Mandiant.⁴ Vous avez bien lu. Un employé d’une firme de sécurité, censé gérer l’une des pires brèches de sécurité dans l’histoire, a créé un site similaire au Phishing pour tenter de capter du trafic. Mais laissons-lui le bénéfice du doute, car il se pourrait que Mandiant ait enregistré ce nom de domaine justement pour éviter qu’il tombe entre les mains de vrais pirates. Mais l’hypothèse parait peu probable, car les Phishers peuvent utiliser des dizaines de noms de domaine à la place.

Les dirigeants d’Equifax ont vendu leurs actions avant la publication de la brèche

Encore une fois, nous avons notre question à plusieurs millions de dollars : Qu’est-ce qu’Equifax a foutu pendant ces 2 mois ? Et bien, il semble que la réponse soit bien à plusieurs millions de dollars puisqu’on apprend que les dirigeants ont profité de ce délai pour vendre massivement leurs actions pour éviter le dévissage en bourse. Actuellement, l’action a perdu 13 % de sa valeur.

Quand Equifax vante la qualité de son CEO qui a vendu ses actions de l’entreprise avant la débandade

En plus d’être un acte de fils de puterie extrême, si les dirigeants ont vendu leurs actions en connaissant la brèche, alors c’est un délit d’initié punissable par la loi. Pour compenser les dommages, Equifax offre un an gratuit pour la surveillance des comptes de crédit des utilisateurs. C’est la cerise sur le gâteau. À aucun moment, Equifax n’a expliqué clairement la gravité de la brèche, mais en échange, il vous offre un service gratuit à la con. En sachant que si les consommateurs acceptent, alors c’est juste un an et ensuite, ils seront facturés au prix fort. C’est comme si vous travailliez dans une usine et qu’une machine vous coupait le bras et que l’entreprise vous donne un bon d’achat de 50 dollars.

Une tentative pour éviter des plaintes collectives

J’ignore comment on peut atteindre un tel niveau de négligence, d’incompétence et de sans foutisme vis-à-vis de ses consommateurs. La brèche d’Equifax contient les noms, les numéros de sécurité sociale, les dates de naissance, les adresses de domicile et les numéros de permis de conduire. Des informations juteuses qui sont largement suffisantes pour faire de l’usurpation d’identité en masse. Notons qu’Equifax n’arrivera jamais à colmater cette brèche. Les dommages collatéraux vont s’étaler pendant des années. Dans ces conditions d’utilisation, Equifax avait stipulé que si le consommateur accepte l’offre gratuite de 1 an, alors ce dernier ne pourrait pas participer à une plainte collective contre Equifax. Mais le tollé a été tel que l’entreprise a changé ses conditions pour qu’elles ne concernent pas cette brèche.

---

Mes livres

Le Basilic de Roko	Mon parcours de rédacteur web	Science corrompue et servile	Nous, Tueurs en série