Un banal phishing à l’origine du piratage en Caroline du Sud

Le 29 octobre, nous relations dans nos colonnes que la Caroline du Sud avait été victime d’un vol conséquent de données : des millions de numéros de sécurité sociale avaient été pillés par des pirates. On en sait désormais davantage sur la manière dont ces derniers ont procédé.

On sait désormais que, tentatives d’intrusions mises à part pour tester le système, l’élément déclencheur est survenu le 13 août. Ce jour-là, un employé, dont le nom n’a pas été cité, a reçu un email. Il s’agissait d’un cas très classique de phishing, mais spécifique à la situation de l’employé de l’office de gestion des impôts : embobinée, la victime est arrivée sur un faux site demandent de confirmer ses identifiants… professionnels.

Il s’agissait de la première étape d’un plan qui a abouti un peu plus tard au vol d’autres identifiants d’employés. La finalité était d’obtenir les droits nécessaires à l’accès à au moins un serveur dans le but d’y placer plusieurs dizaines de malwares et autres applications (33 exactement). Ce sont ces derniers qui ont opéré le travail de collecte puis d’expédition des données. L’essentiel du vol s’est déroulé sur les 13 et 14 septembre à travers huit accès aux serveurs. Malheureusement pour les victimes, l’action des pirates recoupait un ensemble de mauvaises pratiques de sécurité, et les têtes sont tombées.

Dans une conférence de presse donnée hier, la gouverneur de Caroline du Sud, Nikki Haley, a donné de nombreuses informations. Elle a ainsi confirmé le chiffre impressionnant de 5,7 millions de personnes touchées par les fuites de numéros de sécurité sociale. Sur l’ensemble des personnes, 3,3 sont concernées également par un vol d’informations bancaires. Les banques sont au courant et ont reçu pour consignes de surveiller de près les accès frauduleux. Côté entreprises, 700 000 sont concernées pour l’instant. Au total, ce ne sont pas moins de 75 Go de données qui ont été volées.

Puisque l’État avait mis en place un programme de souscription à une protection des données personnelles, Haley en a profité pour préciser que plus de 843 000 personnes avaient à ce jour souscrit à ces abonnements gratuits valables un an. Une compensation qui va rapidement s’avérer onéreuse pour la Caroline du Sud puisque la facture s’élève pour l’instant à 12 millions de dollars.

Mais la gouverneur a vertement vilipendé la sécurité entourant l’agence de collecte des impôts. Elle a par exemple relevé l’absence de mise en place d’une double authentification. Elle a également critiqué l’agence pour son  système informatique qui n’a guère changé dans ses fondations depuis les années 70 (sic). Autre constat grave : toutes les données antérieures à 1998 n’étaient tout simplement pas chiffrées. Parmi les conséquences, la gouverneur a précisé avoir accepté la démission du directeur de l’agence, Jim Etter. Un départ qui sera effectif à la fin de l’année.

De grands travaux vont être menés sur les infrastructures de l’État pour la collecte des impôts. La première étape sera le chiffrement complet des données. En outre, se dessinera prochainement une procédure de gestion des crises de ce type, à la manière des alertes tempêtes.