jeudi , 1 octobre 2020

Equifax et le pire login – mot de passe

Les nouvelles se suivent après le vol de données d’Equifax et elles font remonter des cadavres à la surface. Le dernier en date concerne un site web argentin paré de la plus médiocre combinaison login-mot de passe : Admin – Admin !!

Incompétence ou erreur professionnelle?

La cause de cette anormalité n’est pas à chercher uniquement auprès de l’administrateur qui a réussi à paramétrer un tel login-mot de passe. En effet, des principes de base devraient logiquement permettre d’éviter de telles aberrations comme par exemple:


️ Pour m'offrir un café en échange du travail de veille réalisé gratuitement
[aesop_image imgwidth=”400px” img=”https://www.ledecodeur.ch/wp-content/uploads/2017/04/8df45ff9-c3ec-4da8-a3a2-e98d1fedb3d2.png” credit=”People-Process-Techno” alt=”La combinaison People-Process-Techno” align=”center” lightbox=”on” captionposition=”right” revealfx=”fromright” overlay_revealfx=”off”]
  • des processus de gestion des changements prévoyant des revues sécurité avant les mises en production. C’est également une occasion d’inclure un contrôle 4-yeux indépendant.
  • des outils de contrôles et des audits de sécurité pour s’assurer qu’il n’existe pas de failles et vulnérabilités béantes
  • et surtout de la formation et la sensibilisation de tout le personnel IT (et pas seulement les administrateurs web).

Tous ces vols de données nous rappellent que les bases essentielles de la sécurité ne sont pas maîtrisées. Les outils de sécurité s’accumulent mais des maillons essentielles de la chaînes de sécurité (ou la kill chain) sont omis. C’est là que l’on peut alors parler d’erreur professionnelle.

Equifax Website Secured By The Worst Username And Password Possible

The Equifax breach that leaked data on 143 million Americans and Canadians was about as disastrous as they come. As Forbes’ Thomas Fox-Brewster pointed out last week, it wasn’t an isolated incident. Equifax has had problems with security before. And now there’s another incident to add to that list.

Equifax suffers fresh data breach

The credit report provider Equifax has been accused of a fresh data security breach, this time affecting its Argentine operations. Cyber-crime blogger Brian Krebs said that an online employee tool used in the country could be accessed by typing “admin” as both a login and password.

A lire également ici sur le même ton à propos de cette actualité:

The Equifax Breach and 5 Years of Missed Warning Signs

Reports that Equifax’s chief information officer along with their chief security officer were retiring should alleviate few concerns and not divert scrutiny from the company’s risk governance standards. While this is not the largest data breach in history, it is quite possibly the most damaging.

C’est peut-être la bonne occasion de rappeler qu’il existe des sets de bonnes pratiques de base telles que proposé par l’ANSSI:

Publication : Guide d’hygiène informatique

Parmi les mesures techniques que les entités publiques ou privées doivent prendre pour garantir la sécurité de leurs systèmes d’information, on qualifie les plus simples et élémentaires d’entre elles d’hygiène informatique, car elles sont la transposition dans le monde numérique de règles élémentaires de sécurité sanitaire.

Cliquer pour accéder à guide_hygiene_informatique_anssi.pdf

About Marc Barbezat

Blogueur et spécialiste en cybersécurité

Check Also

kit premier secours

Un guide du NIST pour se rétablir après une attaque de ransomware

Le NIST a publié un guide pratique sur la cybersécurité que les entreprises peuvent utiliser pour se remettre d'attaques de type ransomware

Un dealer du darknet trahi … par ses empreintes digitales

Voici le récit intéressant qui montre comment un e-baron de la drogue est tombé grâce à une simple photographie.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

La newsletter