Une mauvaise politique de déploiement de correctifs, plusieurs manquements en matière de sécurité périmétrique et de détection d’intrusion, une gestion de crise digne de figurer au « Guinness des records », l’affaire Equifax risque bien de faire les grands titres de la presse pendant au moins deux semaines, avant de retomber dans un oubli médiatique total. Seuls quelques avocats et juges chargés des « class actions » prévisibles s’en souviendront.
Equifax,l’un des trois plus gros organismes US de crédit et de services de gestion financière (RH, salaires…), a laissé fuiter près de 143 millions d’identités, 210 000 numéros de cartes de crédit et un peu moins de 200 000 dossiers clients comportant nombre d’informations personnelles. Une paille, un rien comparé à l’hémorragie Yahoo. Mais Yahoo n’est pas une banque et son business n’est pas la « vente de confiance ».
Il importe peu de savoir « comment » les données ont pu fuir. Il est même très probable que personne ne parvienne à le découvrir. En revanche, expliquer Brian Krebs, journaliste et victime directe de ce sinistre, ce qui succède aux fuites n’est qu’une série de sur-accidents.
A commencer par la vente d’actions par trois membres du conseil d’administration d’Equifax (dont le CFO) peu de temps après la découverte de l’intrusion mais bien avant la révélation publique de l’affaire. Des dirigeants qui, cela va sans dire, n’étaient au courant de rien à ce moment précis.
Suit alors une série de bourdes difficilement explicables. Le premier bulletin public diffusé sur le site Web principal de l’entreprise rassure la clientèle en affirmant qu’aucune information importante n’a pu sortir des serveurs. L’alerte des clients par SMS, en revanche évoque sous conditionnel cette éventualité. Qui donc coordonne alors la communication de crise chez ces spécialistes de l’agio ? Edelman, société de relation presse (très présente en France notamment). Pas de cellule spécialisée interne donc, et l’on s’interroge sur cette décision visant à externaliser à des non-spécialistes l’aspect le plus délicat d’une situation d’urgence. La question est manifestement traitée par-dessus la jambe par une direction qui paraît jouer la carte du « too big to fail ».
Il faudra attendre le 9 septembre pour apprendre la nomination de Mandiant, filiale de FireEye, au titre de cabinet d’audit et d’expertise. Fondée par Kevin Mandia, cette entreprise de sécurité s’y connaît en matière d’intrusion et de fuite d’informations, puisque ses propres serveurs firent les frais des assauts des « Anonymous » il y a quelques années. Spécialiste des APT et du cyber-péril jaune, Mandiant sait tout, mais ne publie rien, jamais. Ou alors seulement aux autorités Fédérales. Par le plus grand des hasards, ces mêmes Anonymous distillaient encore sur Pastebin des fichiers « internes » fin juillet de cette année. Entre « troués », il faut se serrer les coudes.
1 commentaire