La société américaine Equifax, spécialisée dans les dossiers et historiques de crédits, s’est fait dérober durant l’été les données personnelles de millions de clients. Une cyberattaque désastreuse pour les victimes, tant les informations peuvent être sensibles. D’autant que ce n’est pas la première fois que l’entreprise est épinglée.
Equifax est une Consumer Reporting Agency (CRA), dont la mission est de rassembler un grand nombre d’informations plus ou moins personnelles sur les personnes souscrivant des crédits. Elle tient des rapports à jour, engrangeant crédits passés, adresses, numéros de téléphones, numéros de sécurité sociale, cartes grises, données médicales et, dans les grandes lignes, toute information susceptible d’intéresser un organisme de crédit (ce que n’est pas Equifax).
La société est en fait l’un des maillons essentiels de la chaine de crédit aux États-Unis. Avec Transunion et Experian, elle forme un trio brassant des quantités colossales de données sensibles. La confirmation hier soir d’une cyberattaque pendant l’été jette donc un nouveau froid sur l’entreprise, qui n’en est pas à sa première fuite.
143 millions de victimes potentielles
Jusqu’à 44 % de la population américaine, friande de crédits, pourraient être touchés. Seul le temps pourra confirmer l’ampleur du désastre. On sait pour l’instant que les pirates ont attaqué une base de données contenant les données de 143 millions de clients, mais pas encore si elle a été siphonnée dans son intégralité.
Noms, numéros de sécurité sociale, dates de naissance, adresses et cartes grises ont été aspirés. Pour 209 000 clients, les informations des cartes de paiement ont également été dérobées. Pour 182 000 victimes, des données personnelles identifiantes font aussi partie du lot.
Les espoirs que la tempête soit limitée ne sont cependant pas bien élevés. Equifax a confirmé dans son annonce d’hier soir que les accès frauduleux s’étaient étendus de la mi-mai jusqu’en juillet. Avec potentiellement deux mois et demi pour mener leurs opérations, les pirates ont en théorie eu le temps de réaliser tous les méfaits possibles. La société a pour sa part découvert l’intrusion le 29 juillet.
Quant au point d’entrée, Equifax a simplement évoqué une faille dans son site web. Problème, il n’y a pour l’instant aucune autre précision à ce sujet.
Des comportements troubles
Le profil d’Equifax est particulier à plusieurs égards. D’une part, son activité la rend particulièrement attirante pour les pirates puisque des informations personnelles sont rassemblées en grandes quantités dans ses bases de données, y compris des données médicales dans une partie des cas.
D’autre part, Equifax a attendu plus d’un mois pour confirmer la fuite de données. Un délai difficilement explicable, d’autant que les clients concernés ont perdu du temps pour prendre certaines mesures, notamment la souscription d’un service de protection contre le vol d’identité. Equifax offre d’ailleurs un an d’un tel service aux victimes, ce qui semble très insuffisant compte tenu des risques.
Enfin, quelques jours après la confirmation interne de la fuite (29 juillet), trois responsables de l’entreprise (dont le directeur financier John Gamble) ont revendu pour environ 1,8 million de dollars d’actions. Selon Bloomberg, Equifax a affirmé qu’aucun d’entre eux n’avait été informé de la fuite, et qu’il ne peut donc pas s’agir d’une réaction s’apparentant à un délit d’initié.
Une fuite pas comme les autres
Avec un maximum de 143 millions de victimes, on est loin des chiffres titanesques des fuites de Yahoo. Pour rappel, les deux principales avaient enchainé des vols de données pour plus d’un milliard de comptes utilisateurs puis pour 500 millions. Cependant, les informations aspirées chez Equifax sont beaucoup plus dangereuses. Par ailleurs, la société n’a semble-t-il pas tiré de leçons de ses erreurs passées.
Equifax a en effet été attaqué deux fois dans l’année écoulée. Une fois en 2016 avec vol d’informations fiscales et salariales, là encore depuis un site contenant une faille. Une autre plus tôt cette année, toujours pour des informations fiscales, mais cette fois depuis sa filiale TALX, spécialisée dans les grandes entreprises. Comme l’indique Brian Krebs sur son blog dédié à la sécurité, les CRA sont « d’horribles hôtes pour des données très sensibles ». Et de citer une autre attaque, celle d’Exerian en 2015, qui avait fait au moins 15 millions de victimes.
L’enchainement des attaques et l’efficacité avec laquelle les pirates se sont emparés des données donnent actuellement à Equifax l’image d’une société incapable de fournir une défense à la hauteur de la sensibilité des données qu’elle héberge. Avivah Litan, analyste chez Garnet, a ainsi indiqué au New York Times que « sur une échelle de 1 à 10 en termes de risques pour le consommateur, c’est un 10 ».
Un danger potentiel très concret
Les mesures adoptées semblent également faibles en regard du risque pour les victimes. Proposer une année de protection contre les vols d’identité parait bien peu puisque de tels méfaits peuvent survenir pendant de nombreuses années après la récupération des informations. Equifax a également mis en place un site (qui a d'ailleurs eu lui-même quelques soucis de sécurité à ses débuts) permettant de savoir si l'on a été touché par le vol.
Mais ce qui inquiète également, c’est la manière dont ces données peuvent être exploitées. Rien n’empêche, comme on a déjà pu le voir, de se servir de ces informations très précises pour du chantage ou la conception d’une attaque par spearfishing (ou harponnage). Pour rappel, et contrairement au phishing classique, l’email est soigneusement conçu pour ressembler à un courrier authentique. Les renseignements personnels sont alors d’une aide précieuse.
Le sénateur démocrate Mark Warner résume la situation et évoque d’éventuels futurs travaux au Congrès : « Bien que beaucoup soient peut-être habitués à entendre parler d’une nouvelle fuite toutes les quelques semaines, la portée de cette brèche […] soulève de sérieuses questions sur la possibilité pour le Congrès de créer non seulement un standard pour les signalements de brèches, mais également de repenser les règles de protection des données ». Il souligne en outre « le risque réel pour la sécurité économique des Américains ».