Equifax : dans l’ombre du hack, le spectre du phishing
À plusieurs reprises, les équipes d’Equifax ont redirigé les internautes vers un faux site créé par un chercheur pour illustrer les risques de phishing.
« En saisissant des informations sur cette page web, vous pourriez vous exposer à une usurpation d’identité ou à d’autres fraudes ».
Ce message s’affiche dans Google Chrome quand on tente de se connecter à securityequifax2017.com.
Firefox signale aussi comme « trompeur » ce site vers lequel les équipes d’Equifax ont pourtant redirigé les internautes à plusieurs reprises.
Le 7 septembre dernier, l’agence américaine d’évaluation de crédit avait officialisé un incident de sécurité ayant potentiellement exposé les données personnelles de 143 millions d’individus.
Elle avait, en parallèle, ouvert un site Internet qui permet notamment aux victimes d’accéder gratuitement à un service de suivi de leur dossier de crédit et de protection contre l’usurpation d’identité.
Plutôt que d’exploiter le site commercial equifax.com, il a été décidé de créer un nom de domaine dédié : equifaxsecurity2017.com. Une démarche que désapprouve Nick Sweeting.
Jugeant qu’il était facile d’usurper un tel nom de domaine, ce chercheur en sécurité informatique – à l’origine d’une start-up qui donne dans le jeu en ligne et la blockchain – l’a détourné, en créant, donc, securityequifax2017.com.
Surprise : l’intéressé est parvenu à berner jusqu’aux équipes d’Equifax, qui ont tweeté le lien « au moins huit fois », estime-t-il.
Equifax just linked customers to my fake phishing version of their site by accident. ??? https://t.co/kXQdwKys71
— Nick Sweeting ? (@thesquashSH) 20 septembre 2017
Des trois tweets listés par The Verge (et supprimés depuis la publication de l’article), le plus ancien datait du 9 septembre. Il est vraisemblablement resté en ligne plus de dix jours.
Ars Technica, qui fait le même constat, avait déjà dénoncé la fragilité du site Web en lui-même, basé sur un WordPress sans sécurité particulière et présentant des erreurs de validation de certificats.
Du côté de Nick Sweeting, on assure avoir agi sans mauvaises intentions : les internautes éventuellement pris au piège ne subiront aucune fuite de données, les requêtes réseau ayant été redirigées vers leur propre machine.