La société américaine Equifax, spécialisée dans les dossiers et historiques de crédits, s’est fait dérober durant l’été les données personnelles de millions de clients. Une cyberattaque désastreuse pour les victimes, tant les informations peuvent être sensibles. D’autant que ce n’est pas la première fois que l’entreprise est épinglée.
Equifax est une Consumer Reporting Agency (CRA), dont la mission est de rassembler un grand nombre d’informations plus ou moins personnelles sur les personnes souscrivant des crédits. Elle tient des rapports à jour, engrangeant crédits passés, adresses, numéros de téléphones, numéros de sécurité sociale, cartes grises, données médicales et, dans les grandes lignes, toute information susceptible d’intéresser un organisme de crédit (ce que n’est pas Equifax).
La société est en fait l’un des maillons essentiels de la chaine de crédit aux États-Unis. Avec Transunion et Experian, elle forme un trio brassant des quantités colossales de données sensibles. La confirmation hier soir d’une cyberattaque pendant l’été jette donc un nouveau froid sur l’entreprise, qui n’en est pas à sa première fuite.
143 millions de victimes potentielles
Jusqu’à 44 % de la population américaine, friande de crédits, pourraient être touchés. Seul le temps pourra confirmer l’ampleur du désastre. On sait pour l’instant que les pirates ont attaqué une base de données contenant les données de 143 millions de clients, mais pas encore si elle a été siphonnée dans son intégralité.
Noms, numéros de sécurité sociale, dates de naissance, adresses et cartes grises ont été aspirés. Pour 209 000 clients, les informations des cartes de paiement ont également été dérobées. Pour 182 000 victimes, des données personnelles identifiantes font aussi partie du lot.
Les espoirs que la tempête soit limitée ne sont cependant pas bien élevés. Equifax a confirmé dans son annonce d’hier soir que les accès frauduleux s’étaient étendus de la mi-mai jusqu’en juillet. Avec potentiellement deux mois et demi pour mener leurs opérations, les pirates ont en théorie eu le temps de réaliser tous les méfaits possibles. La société a pour sa part découvert l’intrusion le 29 juillet.
Quant au point d’entrée, Equifax a simplement évoqué une faille dans son site web. Problème, il n’y a pour l’instant aucune autre précision à ce sujet.
Des comportements troubles
Le profil d’Equifax est particulier à plusieurs égards. D’une part, son activité la rend particulièrement attirante pour les pirates puisque des informations personnelles sont rassemblées en grandes quantités dans ses bases de données, y compris des données médicales dans une partie des cas.
D’autre part, Equifax a attendu plus d’un mois pour confirmer la fuite de données. Un délai difficilement explicable, d’autant que les clients concernés ont perdu du temps pour prendre certaines mesures, notamment la souscription d’un service de protection contre le vol d’identité. Equifax offre d’ailleurs un an d’un tel service aux victimes, ce qui semble très insuffisant compte tenu des risques.
Enfin, quelques jours après la confirmation interne de la fuite (29 juillet), trois responsables de l’entreprise (dont le directeur financier John Gamble) ont revendu pour environ 1,8 million de dollars d’actions. Selon Bloomberg, Equifax a affirmé qu’aucun d’entre eux n’avait été informé de la fuite, et qu’il ne peut donc pas s’agir d’une réaction s’apparentant à un délit d’initié.
Une fuite pas comme les autres
Avec un maximum de 143 millions de victimes, on est loin des chiffres titanesques des fuites de Yahoo. Pour rappel, les deux principales avaient enchainé des vols de données pour plus d’un milliard de comptes utilisateurs puis pour 500 millions. Cependant, les informations aspirées chez Equifax sont beaucoup plus dangereuses. Par ailleurs, la société n’a semble-t-il pas tiré de leçons de ses erreurs passées.
Equifax a en effet été attaqué deux fois dans l’année écoulée. Une fois en 2016 avec vol d’informations fiscales et salariales, là encore depuis un site contenant une faille. Une autre plus tôt cette année, toujours pour des informations fiscales, mais cette fois depuis sa filiale TALX, spécialisée dans les grandes entreprises. Comme l’indique Brian Krebs sur son blog dédié à la sécurité, les CRA sont « d’horribles hôtes pour des données très sensibles ». Et de citer une autre attaque, celle d’Exerian en 2015, qui avait fait au moins 15 millions de victimes.
L’enchainement des attaques et l’efficacité avec laquelle les pirates se sont emparés des données donnent actuellement à Equifax l’image d’une société incapable de fournir une défense à la hauteur de la sensibilité des données qu’elle héberge. Avivah Litan, analyste chez Garnet, a ainsi indiqué au New York Times que « sur une échelle de 1 à 10 en termes de risques pour le consommateur, c’est un 10 ».
Un danger potentiel très concret
Les mesures adoptées semblent également faibles en regard du risque pour les victimes. Proposer une année de protection contre les vols d’identité parait bien peu puisque de tels méfaits peuvent survenir pendant de nombreuses années après la récupération des informations. Equifax a également mis en place un site (qui a d'ailleurs eu lui-même quelques soucis de sécurité à ses débuts) permettant de savoir si l'on a été touché par le vol.
Mais ce qui inquiète également, c’est la manière dont ces données peuvent être exploitées. Rien n’empêche, comme on a déjà pu le voir, de se servir de ces informations très précises pour du chantage ou la conception d’une attaque par spearfishing (ou harponnage). Pour rappel, et contrairement au phishing classique, l’email est soigneusement conçu pour ressembler à un courrier authentique. Les renseignements personnels sont alors d’une aide précieuse.
Le sénateur démocrate Mark Warner résume la situation et évoque d’éventuels futurs travaux au Congrès : « Bien que beaucoup soient peut-être habitués à entendre parler d’une nouvelle fuite toutes les quelques semaines, la portée de cette brèche […] soulève de sérieuses questions sur la possibilité pour le Congrès de créer non seulement un standard pour les signalements de brèches, mais également de repenser les règles de protection des données ». Il souligne en outre « le risque réel pour la sécurité économique des Américains ».
Commentaires (38)
#1
Quelles peuvent être les suites judiciaires de cette affaire??
La vente des actions est sacrément douteuses.
#2
les responsables pas au courant d’un truc pareil ?
" />
" />
" />
que fout une entreprise pareille avec les informations des cartes de paiement au fait ?
#3
Enfin, quelques jours après la confirmation interne de la fuite (29 juillet), trois responsables de l’entreprise (dont le directeur financier John Gamble) ont revendu pour environ 1,8 million d’actions. Selon Bloomberg, Equifax a affirmé qu’aucun d’entre eux n’avait été informé de la fuite, et qu’il ne peut donc pas s’agir d’une réaction s’apparentant à un délit d’initié.
lol.
Et la marmotte elle met le chocolat dans le papier
#4
Encore un coup de Mr Robot.
" />
#5
J’m’en fous j’ai rien à cacher
" />
#6
un membre du congrès s’inquiète, il y aurait des politiques dans la liste ? ça va piquer for for :o
#7
Enfin, quelques jours après la confirmation interne de la fuite (29 juillet), trois responsables de l’entreprise (dont le directeur financier John Gamble) ont revendu pour environ 1,8 million d’actions. Selon Bloomberg, Equifax a affirmé qu’aucun d’entre eux n’avait été informé de la fuite, et qu’il ne peut donc pas s’agir d’une réaction s’apparentant à un délit d’initié.
Connaisse pas la machine à café
#8
C’est beau l’argent-dette à l’Américaine, bientôt en France la notation des particuliers pour leur louer de l’argent
" />
#9
Ah mais ça veut dire que potentiellement, il pourrait y avoir des retombées en France aussi, ne serait-ce qu’avec Paypal, qui est considéré comme une banque, et qui gère toutes sortes de paiements, abonnements, etc ?
#10
Je ne suis pas juriste, mais dans un tel cas ils sont réputés être au courant et ça sera à eux de prouver qu’ils n’ont pas eu de contact avec des personnes au courant avant la vente des actions. Autant dire que ça sent pas bon.
Après il faut savoir que pour des dirigeants d’entreprise cotées il est souvent nécessaire pour eux d’annoncer à l’avance leur intention de faire des ventes. Il se peut donc que ces ventes aient été initiées bien avant l’intrusion.
http://www.afep.com/uploads/medias/documents/Prevention_des_delits_d_inities_070…
#11
Mais ce qui inquiète également, c’est la manière dont ces données peuvent être exploitées. Rien n’empêche, comme on a déjà pu le voir, de se servir de ces informations très précises pour du chantage ou la conception d’une attaque par spearfishing (ou harponnage). Pour rappel, et contrairement au phishing classique, l’email est soigneusement conçu pour ressembler à un courrier authentique. Les renseignements personnels sont alors d’une aide précieuse.
C’est même bien pire que ça, ça peut mener à des usurpations d’identité. Vivant au Royaume-Uni où Equifax (ainsi que les 2 autres) opère, je vais être ultra parano pendant les prochains mois ! Comme il n’y a pas de carte d’identité, les vérifications d’identité se résument à “pouvez-vous me confirmer votre adresse, date de naissance et votre moyen de paiement”, informations qu’ont ces entreprises…
D’ailleurs, est-ce qu’on sait si ça ne touche que leurs activités américaines ou pas ?
EDIT: OK, c’est le premier point qui est abordé pour les conséquences, ça m’apprendra à lire trop en diagonale…
#12
C’est déjà à peu près le cas, dès que tu entres en relation avec une banque, elle te note.
Ca reste une notation interne à chaque banque, avec quelques infos nationales (fiché Banque de France par exemple), mais tu es noté de base en fonction de ton profil pro et familliale.
#13
Bah c’est déjà le cas, et personne ne s’en cache : “après validation par notre organisme de crédit”
#14
Et selon les crédits tu rajoutes la déclaration des crédits en cours et la présentation des relevés bancaires des 3 derniers mois..
C’est pas à peu près le cas, c’est déjà le cas
#15
A peu près dans le sens où il n’y a pas (encore?) d’organisme “officiel” qui regroupe l’ensemble de ces info de manière informatisée.
#16
#17
“John Gamble”… rassurez-moi c’est un pseudonyme pour ses activités frauduleuses ?
#18
#19
Merci du retour.
Je pensais d’accord aux faits qu’ils se sont fait volés les données de leur clients.
#20
Pas perdu le nord chez Equifax… ils ont mis une page web en ligne pour vérifier si vous êtes victime du hack… en vous imposant un eula qui vous empêche de les poursuivre en justice par la suite…
#21
#22
Si ça t’empêche de rentrer dans une class action, ça t’empêche de participer à la seule forme rentable de poursuite… surtout si une class action passe avant toi…
Bref, ceux qui ont accepté cet eula l’ont profond.
#23
my god c’est vraiment de l’abus !!!!
j’ai créé un compte sur equifax.ca pour vérifier mon historique de crédit. maintenant mon identité va pouvoir s’echanger sur le dark web… génial
au fait ils ont dit que les hackers étaient passés par leur site web.est ce que equifax.ca est aussi touché ?
pas moyen de vérifier sans renoncer à toute poursuite. mais comment les poursuivre si on ne sait pas si on a été touché ?? c’est carrément illégal comme eula
#24
#25
#26
C’est très fréquent comme clauses et ça a déjà été validé plusieurs fois devant les tribunaux outre-atlantique.
Reste la seule méthode efficace qui aurait dû être utilisée pour la crise financière: la hache.
#27
Détenir et regrouper autant de données, c’est fournir l’assurance de se faire attaquer.
Par contre, laisser une entreprise détenir tout ça (surtout quand il y en a peu), ça devrait être carrément illégal …
#28
en amérique du nord tu n’as pas le choix : dès que tu ouvres un compte en banque, dès que tu as une carte de paiement, dès que tu as un abonnement de téléphone portable ou internet ou câble, ou que tu achètes une voiture ou n’importe quoi à crédit : ça prend une vérification de ton “score” de crédit.
score qui est calculé par des grosses compagnies comme equifax. les acteurs mentionnés plus haut (banques, fournisseurs internet, etc) fournissent les donnés à equifax et consors pour cela.
à part les plus marginaux de la société, tout le monde a un score à son nom chez equifax.
#29
Personnellement, je trouve que le site PayPal est 10 fois mieux sécurisé que le site de ma banque.
C’est bien plutôt les banques qui devraient tirer des leçons de ce genre d’évènement.
#30
Paypal est un intermédiaire de paiement, il n’exécute pas de fonction bancaire.
En Europe, l’entreprise est immatriculée sous forme d’établissement de crédit au Luxembourg et ses clients ne sont pas éligibles à la garantie des dépôts financiers du pays.
#31
#32
Non, les CRA ne se partagent pas les données, et pas tous les organismes partagent avec toutes les CRA. Je crois qu’Equifax est la plus utilisée. La dernière fois que je suis allé voir mon Credit Score sur Noddle, ils avaient que dalle, alors qu’Experian et Equifax ont presque tous mes Direct Debits (j’ai été obligé de changer de crèmerie, Experian et Equifax n’étaient gratuits que pendant 30 jours, jusqu’à peu près l’année dernière)
#33
J aime beaucoup le site Equifax CA :
1 - Veuillez renseigner les informations personnelles de base
2 - Consultez votre score de crédit
3 - Faites nous confiance
#34
@ palisson Je voulais plutôt dire que tous les renseignements que Paypal peut avoir sur nous en Europe, peut finir dans le giron de Equifax ^^”
#35
Pas moyen de trouver comment effacer mon post =x
#36
Je ne parlais pas de paypal à ce sujet ^^”
#37
#38