Les numéros de sécurité sociale de millions de personnes ont fuité récemment en Caroline du Sud, suite à un important piratage. La brèche, officiellement reconnue par les instances locales, donne maintenant lieu à une campagne d’indemnisation sous forme de protection des données.
L’état de Caroline du Sud a publié vendredi un communiqué important sur une sérieuse brèche de sécurité dans ses serveurs. Ces derniers se sont littéralement vidés de leurs contenus puisque pas moins de 3,6 millions de numéros de sécurité sociale ont été volés. Et ce ne sont pas les seules données qui ont été extirpées des bases : 387 000 numéros de cartes de crédit ou de débit font partie du lot. Sur ces derniers, 16 000 environ n’étaient pas chiffrés.
Quand bien même le communiqué date du 26 octobre, des signes avaient été détectés avant. L’état indique par exemple que le 10 octobre, la division des technologies de l’information de Caroline du Sud a informé le département des impôts qu’une attaque pouvait se produire. Le 16 octobre, une enquête révèle que deux tentatives de sonde avaient été faites contre le système début septembre, et une autre plus tôt en août. À la mi-septembre, deux intrusions ont eu lieu, et les pirates ont eu accès pour la première fois à des données concrètes.
La faille de sécurité utilisée par les pirates pour accéder aux données a été colmatée le 20 octobre. Depuis, selon le département des impôts, aucune nouvelle intrusion n’a eu lieu.
Le communiqué précise deux informations importantes. D’une part, aucun fonds public n’a été compromis de cette manière. D’autre part, l’état va payer un an de protection contre le vol de données et d’identité à chaque personne affectée. Bien que le montant ne soit pas précisé, une telle opération ne peut coûter que des dizaines de millions de dollars au bas mot. Une action qui n’est pas sans rappeler celle de SONY après le vol des données sur le PlayStation Network.
La Caroline du Sud demande à ses contribuables de surveiller attentivement leurs relevés bancaires. Le risque est considéré comme faible, mais pas inexistant. Selon Greenville Online toutefois, il existe désormais une vraie polémique autour de l’incident. Des questions demeurent, notamment sur l’état réel de la sécurité des données, ainsi que sur les délais importants entre la détection des problèmes et leur révélation.
