Des voleurs d’identité ont volé les données fiscales et salariales du géant de la paie ADP en enregistrant des comptes au nom des employés de plus d’une douzaine d’entreprises clientes, a appris BreachTrace. ADP affirme que les incidents se sont produits parce que les entreprises victimes ont toutes publié par erreur des informations sensibles sur les comptes ADP en ligne, ce qui a fait de ces entreprises des cibles faciles pour les fraudeurs fiscaux.
ADP, basée à Patterson, dans le New Jersey, fournit l’administration de la paie, des impôts et des avantages sociaux à plus de 640 000 entreprises. La semaine dernière, Banque américaine (US Bank) – la cinquième banque commerciale du pays – a averti certains de ses employés que leurs données W-2 avaient été volées grâce à une faiblesse du portail client d’ADP.
Les voleurs d’identité sont intéressés par les données W-2, car elles contiennent une grande partie des informations nécessaires pour demander frauduleusement un remboursement d’impôt important au Service du revenu interne des États-Unis (IRS) au nom de quelqu’un d’autre. Un lecteur qui travaille à la US Bank a partagé une lettre reçue de Jennie Carlsonvice-président exécutif des ressources humaines de l’institution financière.
« Depuis le 19 avril 2016, nous enquêtons activement sur un incident de sécurité avec notre fournisseur W-2, ADP », a écrit Carlson. « Au cours de cette enquête, nous avons appris qu’un portail W-2 externe, géré par ADP, peut avoir été utilisé par des personnes non autorisées pour accéder à votre W-2, qu’elles ont peut-être utilisé pour déposer une déclaration de revenus frauduleuse sous votre Nom. »
La lettre continuait :
« L’incident est né parce qu’ADP proposait un portail en ligne externe qui a été exploité. Pour les personnes qui n’avaient jamais utilisé le portail externe, une inscription n’avait jamais été établie. Des criminels ont pu profiter de cette situation pour utiliser des renseignements personnels confidentiels provenant d’autres sources afin d’établir une inscription à votre nom chez ADP. Une fois l’enregistrement frauduleux établi, ils ont pu visualiser ou télécharger votre W-2.
Porte-parole de la banque américaine Dana Ripley a déclaré que la lettre avait été envoyée à une « petite population » de plus de 64 000 employés de la banque. Invité à commenter la lettre de la US Bank, ADP a confirmé que la fraude dont a été victime la US Bank a également touché « un très petit sous-ensemble » du nombre total de clients d’ADP cette année.
ADP a souligné que les fraudeurs devaient disposer des données personnelles de la victime – y compris le nom, la date de naissance et le numéro de sécurité sociale – pour réussir à créer un compte au nom de quelqu’un. ADP a également souligné que ces données personnelles ne provenaient pas de ses systèmes et que les voleurs semblaient déjà posséder ces données lorsqu’ils ont créé les comptes non autorisés sur le portail d’ADP.
Directeur de la sécurité d’ADP Roland Cloutier lesdits clients peuvent choisir de créer un compte sur le portail ADP pour chaque employé, ou ils peuvent reporter ce processus à une date ultérieure (mais les employeurs doivent choisir l’un ou l’autre, a déclaré Cloutier).
Selon ADP, les nouveaux utilisateurs doivent être en possession d’au moins deux autres éléments (en plus des données personnelles de la victime) pour créer un compte : un lien personnalisé, spécifique à l’entreprise, fourni par ADP, et un code statique attribué au client par ADP.
Le problème, a déclaré Cloutier, semble provenir des clients d’ADP qui ont à la fois reporté ce processus d’inscription pour certains ou tous leurs employés et en même temps publié par inadvertance en ligne le lien et le code de l’entreprise. En conséquence, pour les utilisateurs qui ne se sont jamais inscrits, les criminels ont pu s’inscrire en tant qu’eux avec des informations personnelles assez basiques et accéder aux données W-2 sur ces personnes.
Ripley, de la US Bank, a reconnu que la banque avait publié en ligne le lien et le code de l’entreprise vers une ressource d’employés, mais a déclaré que l’institution n’avait jamais considéré que les données elles-mêmes étaient privilégiées.
« Nous avons considéré le code comme un code d’identification, pas comme un code d’authentification, et nous l’avons publié sur un site Web pour la commodité de nos employés afin qu’ils puissent accéder à leurs informations W-2 », a déclaré Ripley. « Nous avons abandonné cette pratique. »
Entre-temps, ADP dit avoir développé des systèmes pour surveiller le Web pour tout autre client qui pourrait publier par inadvertance son lien et son code d’inscription.
« Nous avons maintenant mis en place de manière agressive des renseignements de sécurité en essayant de rechercher ce code et de désactiver l’accès à l’enregistrement en libre-service si nous trouvons ce code » publié en ligne, a déclaré Cloutier.
ANALYSE
Le portail d’ADP, comme tant d’autres systèmes d’authentification, repose entièrement sur des données statiques qui sont disponibles sur à peu près tous les Américains pour moins de 4 $ dans le cybercrime clandestin (SSN/DOB, adresse, etc.). Il est vrai que les entreprises devraient savoir qu’il ne faut pas publier un lien aussi crucial en ligne avec le code ADP de l’entreprise, mais là encore, ce sont des authentificateurs assez faibles.
Cloutier a déclaré qu’ADP offre une couche supplémentaire d’authentification – un code d’identification personnel (PIC) – essentiellement un autre code statique qui peut être attribué à chaque employé. Il a ajouté qu’ADP teste un service qui demandera à toute personne demandant un nouveau compte de répondre avec succès à une série de questions basées sur des informations que seul le véritable titulaire du compte est censé connaître.
Cloutier a refusé de dire qui fournissait le service de vérification, mais ces questions dites d’authentification basée sur les connaissances (KBA) ou « hors portefeuille » se concentrent généralement sur des éléments tels que l’adresse précédente, les montants et les dates des prêts et peuvent être énumérées avec succès. avec des devinettes aléatoires. Dans de nombreux cas, les réponses peuvent être trouvées en consultant des services en ligne gratuits, tels que Zillow et Facebook.
L’IRS l’a découvert à ses dépens et, au cours de l’année écoulée, a supprimé deux systèmes d’authentification distincts qui s’appuyaient trop sur la KBA et les données statiques pour authentifier les contribuables. En mai 2015, l’IRS a supprimé son service « Get Transcript » après que les fraudeurs des remboursements d’impôts ont commencé à l’utiliser pour extraire des données W-2 sur plus de 724 000 contribuables. Dans ces cas, les fraudeurs disposaient également déjà du SSN, de la date de naissance et d’autres données personnelles de la victime. En mars 2016, l’IRS a suspendu sa fonction « Get IP PIN » pour la même raison.
Mais d’une manière ou d’une autre, les questions KBA sont une innovation qui vaut la peine d’être attendue chez ADP.
« L’IRS n’avait pas de code PIC ou de code client », a déclaré Cloutier lorsque j’ai évoqué l’expérience de l’IRS. « Ils n’avaient pas autant de niveaux et de composants d’authentification individuels que nous fournissons à nos clients. »
Les paroles de Cloutier rappellent une scène du film Espace de bureaudans lequel le personnage de Jennifer Aniston est reproché par son manager pour porter trop peu de « pièces de style » sur son uniforme « Chotchkie ». Son commentaire m’a aussi fait penser à l’une des meilleures scènes du hit culte « This is Spinal Tap », dans lequel le personnage Nigel Tufnel montre comment tous les boutons de son amplificateur vont au « niveau 11 », tandis que d’autres amplis ne vont qu’au niveau 10, plus ennuyeux et standard.
C’est vraiment une mesure des défis à venir dans l’amélioration de l’authentification en ligne que tant d’organisations regardent encore en arrière vers des approches obsolètes et non sécurisées. Le logo d’ADP comprend le slogan astucieux « Une ressource plus humaine ». Il est difficile de penser à un énoncé de mission plus approprié pour l’entreprise. Après tout, il est grand temps de cesser de demander aux gens de régurgiter de manière robotique les mêmes identifiants statiques encore et encore, et de passer à une approche plus humaine qui se concentre sur des éléments dynamiques pour l’authentification. Mais hélas, c’est du fourrage pour un futur article.
Mise à jour à 13 h 59 HE : Référence clarifiée Spinal Tap.
Mise à jour, 22 h 07 HE : Il semble que les actions d’ADP aient pris un sacré coup immédiatement après la parution de cette histoire aujourd’hui.
Le titre a ensuite rebondi :
