Retour au blog
Hacks célèbresCVEfuite données

Equifax 2017 : 147 millions d'Américains exposés par une CVE Apache Struts

Publié le 2026-04-067 min de lectureFlorian

Le contexte

Equifax est l'une des trois principales agences d'évaluation de crédit aux États-Unis. En 2017, la société détenait des données financières sur plus de 800 millions de consommateurs et 88 millions d'entreprises dans le monde.

La vulnérabilité : CVE-2017-5638

La faille exploitée est CVE-2017-5638, une vulnérabilité d'exécution de code à distance dans Apache Struts 2. Le framework utilisait un parser de type Content-Type vulnérable qui permettait à un attaquant d'exécuter des commandes arbitraires sur le serveur en envoyant une requête HTTP spécialement construite.

Le correctif était disponible depuis le 7 mars 2017. L'exploit public existait depuis le 10 mars. Equifax a été attaqué à partir du 13 mai 2017, soit plus de deux mois après la publication du correctif.

Chronologie

7 mars 2017 : Apache publie le correctif pour CVE-2017-5638.

8 mars 2017 : le CERT US émet une alerte. L'équipe sécurité d'Equifax est notifiée.

15 mars 2017 : Equifax lance un scan interne mais ne détecte pas le serveur vulnérable (selon le rapport d'enquête, le scan n'a pas couvert le bon périmètre).

13 mai 2017 : les attaquants exploitent la faille sur le portail de résolution de litiges d'Equifax.

Mai à juillet 2017 : les attaquants exfiltrent des données pendant 76 jours sans être détectés.

29 juillet 2017 : Equifax détecte un trafic suspect et identifie l'intrusion.

7 septembre 2017 : Equifax annonce publiquement la fuite.

Données exposées

Les informations compromises incluent les noms, numéros de sécurité sociale, dates de naissance, adresses, et dans certains cas les numéros de permis de conduire et de carte de crédit de 147 millions d'Américains. Des données de résidents britanniques et canadiens ont également été touchées.

Pourquoi le patch n'a pas été appliqué

L'enquête a révélé plusieurs défaillances :

  • Inventaire incomplet : Equifax ne connaissait pas tous les systèmes utilisant Apache Struts
  • Scan insuffisant : le scan de vulnérabilités n'a pas couvert le serveur compromis
  • Certificat SSL expiré : un outil de surveillance du trafic réseau était inactif depuis 19 mois car son certificat SSL avait expiré, ce qui a empêché la détection de l'exfiltration
  • Processus de patch défaillant : la notification de la CVE n'a pas été correctement transmise aux équipes responsables

    • Impact financier et juridique

    Equifax a payé environ 700 millions de dollars en règlement (amende FTC et indemnisation des victimes). Le PDG, le DSI et le RSSI ont démissionné. La valeur boursière a chuté de 35% dans les jours suivant l'annonce.

    Leçons

    Le patching n'est pas négociable. Une CVE critique avec un exploit public doit être corrigée en jours, pas en mois.

    L'inventaire des assets est la base. Si vous ne savez pas quels systèmes tournent quel logiciel, vous ne pouvez pas les protéger.

    La surveillance doit fonctionner. Un certificat SSL expiré qui désactive un outil de détection pendant 19 mois, c'est une défaillance systémique.

    CleanIssue identifie les composants vulnérables et les CVE non corrigées lors de ses revues externes. C'est la première ligne de défense contre ce type d'incident.

    Articles liés

    Trois analyses proches pour continuer la lecture sur la meme surface de risque.

    Hacks célèbresFrance

    France Travail 2024 : 43 millions de Français touchés, analyse de la fuite

    Retour technique sur la fuite de données de France Travail en 2024 : comment 43 millions de dossiers ont été exposés, chronologie et leçons.

    2026-04-02 · 8 min de lecture
    Hacks célèbresFrance

    Viamedis et Almerys 2024 : 33 millions de données de santé compromises

    Analyse de la double fuite Viamedis/Almerys qui a exposé les données de santé de 33 millions de Français en janvier 2024.

    2026-04-03 · 7 min de lecture
    JavaStruts

    Java et Apache Struts : pourquoi CVE-2017-5638 reste un cas ecole

    CVE-2017-5638 reste l un des cas ecole de l ecosysteme Java web. Voici pourquoi la faille Struts de 2017 continue d interesser les equipes securite en 2026.

    2026-04-11 · 6 min de lecture

    Sources

    Rédigé par Florian
    Revu le 2026-04-06

    Analyse éditoriale fondée sur la documentation officielle des éditeurs, projets et autorités concernées.

    Services associés

    Si ce sujet reflète un risque concret sur votre stack, voici les audits CleanIssue les plus pertinents.

    Audit Complet

    Documenter toutes les failles prioritaires et obtenir un vrai plan de remédiation.

    Revue Externe

    Obtenir rapidement une lecture claire de l'exposition réelle de votre produit.

    Besoin d'une revue externe de votre SaaS RH ?

    Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

    Parler de votre audit