le Département américain de la justice aujourd’hui des actes d’accusation non scellés contre quatre officiers chinois de la Armée de Libération du Peuple (PLA) accusé d’avoir perpétré le piratage de 2017 contre le bureau de crédit à la consommation Équifax qui a conduit au vol de données personnelles sur près de 150 millions d’Américains. Les responsables du DOJ ont déclaré que les quatre hommes étaient responsables du plus grand vol d’informations personnelles sensibles par des pirates informatiques parrainés par l’État jamais enregistré.
Les noms des neuf chefs d’accusation Wu Zhiyong (吴志勇), Wang Qian (王乾), Xu Ke (许可) et Liu Lei (刘磊) en tant que membres des 54 de l’APLe Research Institute, une composante de l’armée chinoise. Ils sont chacun accusés de trois chefs d’accusation de complot en vue de commettre une fraude informatique, d’espionnage économique et de fraude électronique.
Le gouvernement affirme que les hommes ont déguisé leur activité de piratage en acheminant le trafic d’attaque via 34 serveurs situés dans près de 20 pays, en utilisant des canaux de communication cryptés au sein du réseau d’Equifax pour se fondre dans l’activité normale du réseau et en supprimant quotidiennement les fichiers journaux pour supprimer les preuves de leurs méandres à travers le réseau. systèmes de l’entreprise.
Le procureur général américain Bill Barr a déclaré lors d’une conférence de presse aujourd’hui que le ministère de la Justice n’accuse normalement pas les membres de l’armée d’un autre pays de crimes (ce n’est que la deuxième fois que l’agence inculpe des pirates informatiques militaires chinois). Mais dans une déclaration soigneusement rédigée qui semblait conçue pour détourner toute critique des cyber-actions offensives passées de l’armée américaine contre des cibles étrangères, Barr a déclaré que le DOJ l’avait fait dans cette affaire parce que l’accusé ciblait « sans discrimination » des civils américains à grande échelle.
« Les États-Unis, comme d’autres nations, ont rassemblé des renseignements tout au long de leur histoire pour s’assurer que les décideurs en matière de sécurité nationale et de politique étrangère ont accès à des informations opportunes, précises et perspicaces », a déclaré Barr. « Mais nous recueillons des informations uniquement à des fins légitimes de sécurité nationale. Nous ne violons pas aveuglément la vie privée des citoyens ordinaires.
Directeur adjoint du FBI David Bowdich a cherché à répondre aux critiques sur la sagesse d’inculper des officiers militaires chinois pour avoir attaqué les intérêts commerciaux et gouvernementaux des États-Unis. Quelques experts en sécurité ont chargé que de telles inculpations pourraient à la fois atténuer l’impact des accusations et laisser les responsables américains ouverts à des allégations criminelles parallèles des autorités chinoises.
« Certains pourraient se demander à quoi cela sert lorsque ces pirates sont apparemment hors de notre portée », a déclaré Bowdich. « Nous répondons à cette question tout le temps. Nous ne pouvons pas les mettre en garde à vue, les juger devant un tribunal et les enfermer. Pas aujourd’hui, en tout cas. Mais un jour, ces criminels déraperont, et quand ils le feront, nous serons là. Nous, les forces de l’ordre, ne laisserons pas les pirates s’en tirer simplement parce qu’ils se trouvent à l’autre bout du monde.
Le procureur général a déclaré que l’attaque contre Equifax n’était que la dernière d’une longue série d’attaques de cyberespionnage qui recherchaient des secrets commerciaux et des données sensibles provenant d’un large éventail d’industries, y compris des fournisseurs de services gérés et leurs clients dans le monde entier, ainsi que des entreprises américaines dans les industries de l’énergie nucléaire, des métaux et des produits solaires.
« En effet, environ 80% de nos poursuites pour espionnage économique ont impliqué le gouvernement chinois, et environ 60% de tous les cas de vols de secrets commerciaux ces dernières années impliquaient un lien avec la Chine », a-t-il déclaré.
Les inculpations font suite à une conférence organisée par des responsables du gouvernement américain cette semaine qui a détaillé l’ampleur des attaques de piratage impliquant le vol de propriété intellectuelle par des entités chinoises.
« Le FBI a environ un millier d’enquêtes impliquant une tentative de vol de technologie basée aux États-Unis par la Chine dans l’ensemble de nos 56 bureaux extérieurs et couvrant à peu près tous les secteurs et industries », Le directeur du FBI Christopher Wray aurait a déclaré aux participants à la réunion à Washington, DC, surnommée la « Conférence de l’initiative chinoise ».
À une époque où les relations commerciales de plus en plus combatives avec la Chine combinées aux craintes du public concernant l’épidémie de grippe à coronavirus en cours sont agitation sinophobie dans certaines poches des États-Unis et d’autres pays, Bowdich n’a pas tardé à préciser que le boeuf du DOJ était avec le gouvernement chinois, pas ses citoyens.
« Notre préoccupation ne concerne pas le peuple chinois ou les Américains d’origine chinoise », a-t-il déclaré. « C’est avec le gouvernement chinois et le Parti communiste chinois. Affronter directement cette menace ne signifie pas que nous ne devrions pas faire des affaires avec la Chine, accueillir des étudiants chinois, accueillir des visiteurs chinois ou coexister avec la Chine en tant que pays sur la scène mondiale. Ce que cela signifie, c’est que lorsque la Chine viole nos lois pénales et nos normes internationales, nous en tiendrons compte.
Une copie de l’acte d’accusation est disponible ici.
ANALYSE
Les responsables du DOJ ont félicité Equifax pour leur « étroite collaboration » dans le partage de données qui ont aidé les enquêteurs à reconstituer ce polar. Le procureur général Barr a noté que les accusés ont non seulement volé des données personnelles et, dans certains cas, financières sur les Américains, mais ils ont également volé les secrets commerciaux d’Equifax, qui, selon lui, étaient « incarnés par les données compilées et les conceptions de bases de données complexes utilisées pour stocker des informations personnelles ».
Alors que l’annonce du DOJ aujourd’hui dépeint Equifax sous un jour quelque peu sympathique, il est important de se rappeler qu’Equifax s’est révélé à plusieurs reprises un gestionnaire extrêmement médiocre des informations hautement sensibles qu’il détient sur la plupart des Américains.
Les actions d’Equifax immédiatement avant et après sa divulgation de violation le 7 septembre 2017 ont révélé une entreprise si incapable de gérer sa réponse publique que l’on ne pouvait s’empêcher de se demander comment elle aurait pu gérer ses affaires internes et sa sécurité. En effet, Equifax et ses dirigeants sont passés d’une bévue imprudente à l’autre dans une série de débâcles que BreachTrace a décrites à l’époque comme un «incendie de benne» complet d’une réponse à une violation.
Pour commencer, le site Web qu’Equifax a mis en place pour permettre aux consommateurs de vérifier s’ils étaient touchés par la violation a constamment donné des réponses contradictoires et a été initialement signalé par certains navigateurs Web comme un site de phishing potentiel.
Pour aggraver la confusion, le 19 septembre 2017, le compte Twitter d’Equifax a dit aux personnes à la recherche d’informations sur la violation de visiter le mauvais site Web, qui a également été bloqué par plusieurs navigateurs en tant que site de phishing.
Et deux semaines après sa divulgation de violation, Equifax a commencé à informer les consommateurs de leur admissibilité à s’inscrire à la surveillance gratuite du crédit – mais les messages ne provenaient pas du domaine d’Equifax et étaient à bien d’autres égards indiscernables d’une tentative de phishing.
Il est rapidement apparu que les intrus avaient eu accès aux systèmes d’Equifax en attaquant une vulnérabilité logicielle dans un serveur Internet qui n’avait pas été corrigé pendant quatre mois après que des experts en sécurité ont averti que la faille était largement exploitée. Nous avons également appris que le serveur en question était lié à un portail de litige en ligne chez Equifax, que les intrus ont rapidement doté d’outils leur permettant de conserver l’accès aux systèmes du bureau de crédit.
Ceci est particulièrement remarquable parce que le 12 septembre 2017 – cinq jours seulement après qu’Equifax a rendu publique sa violation – BreachTrace a annoncé que le compte administratif d’un portail séparé de résolution des litiges d’Equifax destiné aux consommateurs en Argentine était grand ouvert, protégé par peut-être la combinaison de mot de passe la plus facile à deviner : « admin/admin ».
Peut-être aurions-nous tous dû voir venir cette mégabrèche. En mai 2017, BreachTrace a détaillé comment d’innombrables employés de nombreuses grandes entreprises américaines ont été victimes d’une fraude au remboursement d’impôts avec l’IRS grâce à un portail ridiculement peu sécurisé chez Equifax. TALX division de la paie, qui fournit des services de paie, de ressources humaines et de fiscalité en ligne à des milliers d’entreprises américaines.
En octobre 2017, BreachTrace a montré à quel point il était facile d’apprendre l’historique complet des salaires d’une grande partie des Américains simplement en connaissant le numéro de sécurité sociale et la date de naissance de quelqu’un, grâce à un autre portail Equifax.
À peu près à la même époque, nous avons également appris qu’au moins deux dirigeants d’Equifax cherchaient à tirer profit de la catastrophe par le biais de délits d’initiés quelques jours seulement avant l’annonce de la violation. Jun Yingl’ancien directeur de l’information d’Equifax, a vendu toutes ses actions de l’entreprise fin août 2017, réalisant un gain de 480 000 $ et évitant une perte de plus de 117 000 $ lorsque la nouvelle de la violation a affecté le cours de l’action d’Equifax.
Sudhakar Reddy Bonthu, un ancien directeur d’Equifax qui a été engagé pour aider l’entreprise à réagir en cas de violation, a acheté 86 options de vente sur les actions d’Equifax le 1er septembre 2017, ce qui lui a permis de réaliser des bénéfices lorsque le cours de l’action de l’entreprise a chuté. Bonthu était plus tard condamné à huit mois de confinement à domicile ; Yin a quatre mois de prison et un an de liberté surveillée. Tous deux ont été condamnés à une amende et/ou condamnés à rembourser leurs gains mal acquis.
Alors que le cours de l’action d’Equifax a subi un coup dur dans les mois qui ont suivi sa divulgation de violation, les actions de la société [NYSE:EFX] gagné un énorme 50,5% en 2019selon les données de Intelligence du marché mondial S&P.
BreachTrace soutient depuis longtemps que la violation de 2017 à Equifax n’était pas l’œuvre de voleurs d’identité à motivation financière, car il n’y a eu à ce jour aucune preuve que quelque chose de proche de la taille du cache de données volé lors de cet incident a été mis en vente dans la cybercriminalité souterraine.
Cependant, les lecteurs doivent comprendre qu’il existe d’innombrables autres entreprises ayant accès au SSN, à la date de naissance et à d’autres informations dont les escrocs ont besoin pour demander un crédit en votre nom et qui sont piratés tout le temps, et que ces données sur un grand nombre d’Américains sont déjà en vente à travers divers bazars de la cybercriminalité.
Les lecteurs doivent également savoir que même si les services de protection contre le vol d’identité du type proposé par Equifax et d’autres sociétés peuvent vous alerter si des escrocs ouvrent une nouvelle marge de crédit à votre nom, ces services ne font généralement rien pour empêcher ce vol d’identité d’avoir lieu. Les services de protection contre le vol d’identité sont les plus utiles pour aider les gens à se remettre de tels crimes.
En tant que tel, BreachTrace continue d’encourager les lecteurs à geler leurs dossiers de crédit auprès d’Equifax et des autres principaux bureaux de crédit. Ce processus vous permet de contrôler qui peut accorder un crédit en votre nom. Placer un gel est désormais gratuit pour tous les Américains et leurs personnes à charge. Pour plus d’informations sur la façon de procéder et à quoi s’attendre d’un gel, veuillez consulter cet abécédaire.