Blog  

 +33 (0)2 51 39 00 92  Contact

mercredi, 25 octobre 2017 10:46

La brèche d'Equifax: Pourquoi l’après-brèche a empêtré les victimes dans la confusion ?

Écrit par  ManageEngine France
Évaluer cet élément
(0 Votes)

Brèche Equifax : Quel enseignements tirés ?

Equifax - l'une des trois grandes agences d'évaluation du crédit - a annoncé le 7 septembre dernier qu'elle avait été victime d'une énorme brèche de données, qui a révélé les données privées d'environ 143 millions d'Américains. Apparemment, une vulnérabilité connue et non patchée a permit la fuite de données.

Le pire, ce n'est pas qu'il y ait eu une exposition massive de données personnelles. Non, la partie la plus déprimante de cette épreuve a été que les clients inquiets qui ont suivi les instructions d'Equifax ont été confronté à un site Web présentant de graves problèmes de sécurité.

Le site de réponse à incidents, utilise un certificat mutualisé et désoriente les victimes.

Le site Equifax equifaxsecurity2017.com, en réponse à la brèche, a été conçu pour permettre aux clients de savoir s'ils ont été affectés par la brèche. Voilà pourquoi ce n'était pas une bonne idée:

  • Le site de réponse à l'intrusion a été hébergé en utilisant un certificat SSL partagé Cloudfare. Cela signifie qu'il y a des milliers d'autres sites Web utilisant le même certificat SSL. La compromission d'une seule clé privée pour ce certificat SSL signifie qu'il est possible qu'effectuer une attaque de type 'man-in-the-middle' pour chaque site Web qui utilise ce certificat particulier.
  • Comme le site Web de réponse à la brèche a été sécurisé à l'aide de SSL partagé, des outils de sécurité de confiance ont commencé à signaler le domaine comme non sécurisé, ce qui n' a fait que contribuer au chaos.
  • Comme prévu, de nombreux sites de phishing avec des noms similaires à equifaxsecurity2017. com ont commencé à émerger. Un de ces sites, "securityequifax2017", a été créé par un professionnel de la sécurité dans le seul but de 'troller' les pratiques de sécurité d'Equifax. Bientôt, Equifax s'est lui-même pris au piège et a commencé à diriger les utilisateurs vers le site de l'imposteur !

 

Ce qu'Equifax n' a pas réussi à faire.

C'est généralement au lendemain d'une brèche que les pirates informatiques prospèrent. Les clients commencent à paniquer, donc les pirates informatiques essaient de profiter de cette panique en volant les données des clients. Si Equifax avait adopté l'une des approches suivantes pour construire son site Web en réponse à la brèche, les conséquences de la brèche auraient été beaucoup moins chaotiques.

  • Utiliser leur propre domaine : Le site de réponse aux brèches aurait pu être hébergé sur le domaine personnel d'Equifax (equifax. com) au lieu d'un nouveau site dédié. L'utilisation de leur domaine d'origine n'aurait donné à leurs utilisateurs aucune appréhension quant à sa légitimité.
  • Extended Validation : Le site Web de réponse aux violations d'Equifax aurait dû être sécurisé avec un certificat SSL Extended Validation (EV) qui garantit le plus haut niveau de sécurité pour un site Web.

De nombreuses entreprises ne sont pas conscientes des facteurs suivants et n' y remédient donc pas :

  • Suivi de l'expiration des certificats SSL.
  • Négliger les configurations de certificats et induisent des vulnérabilités.
  • Utilisation de certificats auto-signés pour les sites Web accessibles au public.

Aujourd'hui, les sites Web ont tendance à servir d'interface principale entre une organisation et ses clients. Les entreprises sont seules responsables du maintien de la sécurité de leur site Internet. Les solutions de gestion de certificats SSL telles que Key Manager Plus aident les organisations à sécuriser leurs domaines avec des certificats SSL, à identifier les vulnérabilités associées à leurs sites Web et à suivre l'expiration des certificats avec facilité.

Cliquez ici pour en savoir plus sur la façon dont Key Manager Plus peut vous fournir des informations sur votre site Web et la sécurité dont vous avez besoin.

 

 

Lu 111 fois Dernière modification le mardi, 07 novembre 2017 17:03

Vous avez la possibilité de créer un compte lors du téléchargement d'un produit.

Vous avez la possibilité de créer un compte lors du téléchargement d'un produit.