MyEquifax.com est un autre désastre en matière de sécurité
On pourrait penser que le fait d’avoir l’une des brèches les plus médiatisées de mémoire récente ferait prendre la sécurité à cœur à une entreprise, mais Equifax est pleine de surprises. Le dernier en date est que son site MyEquifax.com, auquel l’entreprise invite les personnes touchées par ses mauvaises pratiques de sécurité à geler et à débloquer leur crédit, est lui-même extrêmement mal sécurisé.
Tout cela est documenté par le chercheur en sécurité Brian Krebs, qui a découvert le problème non pas dans le cadre d’une enquête spéciale, mais dans le cadre du processus d’inscription sur le site lui-même. Ce qu’il a découvert, c’est que ” l’ouverture d’un compte sur MyEquifax.com a été facile. En fait, c’était trop facile.”
A découvrir également : Pré-enregistrez-vous pour réaliser d'énormes économies sur Disrupt SF 2019
En matière bancaire et de crédit, l’identité est une chose très importante à établir. C’est pourquoi lorsque vous allez sur MyEquifax.com, il vous demande un courriel, puis votre numéro de sécurité sociale et votre date de naissance.
Un an plus tard, Equifax a perdu vos données, mais a fait face à peu de retombées
A lire en complément : Fort de son partenariat avec Mixer, Lightstream, développeur de la boîte à outils de streaming, lève 8 millions de dollars.
Léger problème : Le SSN et la DDN faisaient partie des données personnelles qui ont fait l’objet d’une fuite dans la brèche d’Equifax pour commencer ! Et il ne vérifie même pas que vous possédez bien l’adresse e-mail que vous avez soumise. Il pose quelques questions de vérification, mais comme le souligne Krebs, il s’agit souvent d’informations publiques, comme la rue où vous habitez ou le nom de jeune fille de votre mère, qui ne valent pas grand-chose pour des raisons de sécurité.
Une fois que vous avez été “vérifié” avec ce processus, vous pouvez immédiatement demander un gel de sécurité sur votre dossier de crédit, ou le débloquer s’il est gelé.
Oh, et ne vous inquiétez pas – si vous avez établi un NIP à cette fin lors de la configuration précédente, vous n’en aurez pas besoin. Oui, ce site Web mal sécurisé n’a pas besoin d’un NIP, bien qu’un NIP soit requis pour les mêmes demandes par téléphone ou par courriel. Lorsque M. Krebs a interrogé un représentant de l’entreprise à ce sujet, il a expliqué :
Nous avons déployé une expérience qui englobe les deux normes de sécurité (en utilisant une approche multifactorielle et multicouche pour vérifier l’identité du consommateur) et qui reflète les commentaires spécifiques des consommateurs sur la gestion des gels de sécurité et des alertes de fraude en ligne sans l’utilisation d’un NIP. Le processus d’ouverture de compte, qui implique la création d’un nom d’utilisateur et d’un mot de passe, repose sur les entrées de l’utilisateur et d’autres facteurs pour établir, vérifier et authentifier en toute sécurité que l’identité du consommateur est connectée au consommateur à chaque fois.
Rien de tout cela n’est vrai. Même les normes de sécurité élémentaires telles que la confirmation de l’adresse e-mail ne sont pas “adoptées”, et l’authentification multifactorielle est triviale à contourner.
C’est mauvais, mais au moins Equifax n’est pas seule : Il semble que les agences d’évaluation du crédit Transunion et Experian ont aussi des moyens de contourner les NIP. On pourrait penser qu’Equifax, qui a échoué si lamentablement dans le domaine de la sécurité auparavant, voudrait rendre sa configuration un peu plus robuste – même répondre aux normes de base serait une bonne chose.
Comme le souligne Krebs, cependant, il est dans votre intérêt de créer un compte avec votre adresse courriel et vos renseignements personnels, car si vous ne le faites pas, il semble que n’importe qui avec quelques points de données sur vous peut le faire lui-même, ce qui vous permet de geler et dégeler votre crédit.
