Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Piratage d'Equifax : jusqu'à 143 millions de victimes, des données très sensibles dérobées

Élève un peu lent
Internet 5 min
Piratage d'Equifax : jusqu'à 143 millions de victimes, des données très sensibles dérobées
Crédits : Firmafotografen/iStock

La société américaine Equifax, spécialisée dans les dossiers et historiques de crédits, s’est fait dérober durant l’été les données personnelles de millions de clients. Une cyberattaque désastreuse pour les victimes, tant les informations peuvent être sensibles. D’autant que ce n’est pas la première fois que l’entreprise est épinglée.

Equifax est une Consumer Reporting Agency (CRA), dont la mission est de rassembler un grand nombre d’informations plus ou moins personnelles sur les personnes souscrivant des crédits. Elle tient des rapports à jour, engrangeant crédits passés, adresses, numéros de téléphones, numéros de sécurité sociale, cartes grises, données médicales et, dans les grandes lignes, toute information susceptible d’intéresser un organisme de crédit (ce que n’est pas Equifax).

La société est en fait l’un des maillons essentiels de la chaine de crédit aux États-Unis. Avec Transunion et Experian, elle forme un trio brassant des quantités colossales de données sensibles. La confirmation hier soir d’une cyberattaque pendant l’été jette donc un nouveau froid sur l’entreprise, qui n’en est pas à sa première fuite.

143 millions de victimes potentielles

Jusqu’à 44 % de la population américaine, friande de crédits, pourraient être touchés. Seul le temps pourra confirmer l’ampleur du désastre. On sait pour l’instant que les pirates ont attaqué une base de données contenant les données de 143 millions de clients, mais pas encore si elle a été siphonnée dans son intégralité.

Noms, numéros de sécurité sociale, dates de naissance, adresses et cartes grises ont été aspirés. Pour 209 000 clients, les informations des cartes de paiement ont également été dérobées. Pour 182 000 victimes, des données personnelles identifiantes font aussi partie du lot.

Les espoirs que la tempête soit limitée ne sont cependant pas bien élevés. Equifax a confirmé dans son annonce d’hier soir que les accès frauduleux s’étaient étendus de la mi-mai jusqu’en juillet. Avec potentiellement deux mois et demi pour mener leurs opérations, les pirates ont en théorie eu le temps de réaliser tous les méfaits possibles. La société a pour sa part découvert l’intrusion le 29 juillet.

Quant au point d’entrée, Equifax a simplement évoqué une faille dans son site web. Problème, il n’y a pour l’instant aucune autre précision à ce sujet.

Des comportements troubles

Le profil d’Equifax est particulier à plusieurs égards. D’une part, son activité la rend particulièrement attirante pour les pirates puisque des informations personnelles sont rassemblées en grandes quantités dans ses bases de données, y compris des données médicales dans une partie des cas.

D’autre part, Equifax a attendu plus d’un mois pour confirmer la fuite de données. Un délai difficilement explicable, d’autant que les clients concernés ont perdu du temps pour prendre certaines mesures, notamment la souscription d’un service de protection contre le vol d’identité. Equifax offre d’ailleurs un an d’un tel service aux victimes, ce qui semble très insuffisant compte tenu des risques.

Enfin, quelques jours après la confirmation interne de la fuite (29 juillet), trois responsables de l’entreprise (dont le directeur financier John Gamble) ont revendu pour environ 1,8 million de dollars d’actions. Selon Bloomberg, Equifax a affirmé qu’aucun d’entre eux n’avait été informé de la fuite, et qu’il ne peut donc pas s’agir d’une réaction s’apparentant à un délit d’initié.

Une fuite pas comme les autres

Avec un maximum de 143 millions de victimes, on est loin des chiffres titanesques des fuites de Yahoo. Pour rappel, les deux principales avaient enchainé des vols de données pour plus d’un milliard de comptes utilisateurs puis pour 500 millions. Cependant, les informations aspirées chez Equifax sont beaucoup plus dangereuses. Par ailleurs, la société n’a semble-t-il pas tiré de leçons de ses erreurs passées.

Equifax a en effet été attaqué deux fois dans l’année écoulée. Une fois en 2016 avec vol d’informations fiscales et salariales, là encore depuis un site contenant une faille. Une autre plus tôt cette année, toujours pour des informations fiscales, mais cette fois depuis sa filiale TALX, spécialisée dans les grandes entreprises. Comme l’indique Brian Krebs sur son blog dédié à la sécurité, les CRA sont « d’horribles hôtes pour des données très sensibles ». Et de citer une autre attaque, celle d’Exerian en 2015, qui avait fait au moins 15 millions de victimes.

L’enchainement des attaques et l’efficacité avec laquelle les pirates se sont emparés des données donnent actuellement à Equifax l’image d’une société incapable de fournir une défense à la hauteur de la sensibilité des données qu’elle héberge. Avivah Litan, analyste chez Garnet, a ainsi indiqué au New York Times que « sur une échelle de 1 à 10 en termes de risques pour le consommateur, c’est un 10 ».

Un danger potentiel très concret

Les mesures adoptées semblent également faibles en regard du risque pour les victimes. Proposer une année de protection contre les vols d’identité parait bien peu puisque de tels méfaits peuvent survenir pendant de nombreuses années après la récupération des informations. Equifax a également mis en place un site (qui a d'ailleurs eu lui-même quelques soucis de sécurité à ses débuts) permettant de savoir si l'on a été touché par le vol.

Mais ce qui inquiète également, c’est la manière dont ces données peuvent être exploitées. Rien n’empêche, comme on a déjà pu le voir, de se servir de ces informations très précises pour du chantage ou la conception d’une attaque par spearfishing (ou harponnage). Pour rappel, et contrairement au phishing classique, l’email est soigneusement conçu pour ressembler à un courrier authentique. Les renseignements personnels sont alors d’une aide précieuse.

Le sénateur démocrate Mark Warner résume la situation et évoque d’éventuels futurs travaux au Congrès : « Bien que beaucoup soient peut-être habitués à entendre parler d’une nouvelle fuite toutes les quelques semaines, la portée de cette brèche […] soulève de sérieuses questions sur la possibilité pour le Congrès de créer non seulement un standard pour les signalements de brèches, mais également de repenser les règles de protection des données ». Il souligne en outre « le risque réel pour la sécurité économique des Américains ».

38 commentaires
Avatar de Soriatane Abonné
Avatar de SoriataneSoriatane- 08/09/17 à 09:12:08

Signaler ce commentaire aux modérateurs :

Quelles peuvent être les suites judiciaires de cette affaire??

La vente des actions est sacrément douteuses.

Édité par Soriatane le 08/09/2017 à 09:12
Avatar de jb18v Abonné
Avatar de jb18vjb18v- 08/09/17 à 09:12:27

Signaler ce commentaire aux modérateurs :

les responsables pas au courant d'un truc pareil ?

que fout une entreprise pareille avec les informations des cartes de paiement au fait ?

Avatar de uzak INpactien
Avatar de uzakuzak- 08/09/17 à 09:20:34

Signaler ce commentaire aux modérateurs :

Enfin, quelques jours après la confirmation interne de la fuite (29 juillet), trois responsables de l’entreprise (dont le directeur financier John Gamble) ont revendu pour environ 1,8 million d’actions. Selon Bloomberg, Equifax a affirmé qu’aucun d’entre eux n’avait été informé de la fuite, et qu’il ne peut donc pas s’agir d’une réaction s’apparentant à un délit d’initié.

lol.
Et la marmotte elle met le chocolat dans le papier

Avatar de Ricard INpactien
Avatar de RicardRicard- 08/09/17 à 09:32:25

Signaler ce commentaire aux modérateurs :

Encore un coup de Mr Robot.

Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 08/09/17 à 09:45:46

Signaler ce commentaire aux modérateurs :

J'm'en fous j'ai rien à cacher

Avatar de Estya Abonné
Avatar de EstyaEstya- 08/09/17 à 10:40:42

Signaler ce commentaire aux modérateurs :

un membre du congrès s'inquiète, il y aurait des politiques dans la liste ? ça va piquer for for :o

Avatar de ProFesseur Onizuka Abonné
Avatar de ProFesseur OnizukaProFesseur Onizuka- 08/09/17 à 10:44:13

Signaler ce commentaire aux modérateurs :

Enfin, quelques jours après la confirmation interne de la fuite (29 juillet), trois responsables de l’entreprise (dont le directeur financier John Gamble) ont revendu pour environ 1,8 million d’actions. Selon Bloomberg, Equifax a affirmé qu’aucun d’entre eux n’avait été informé de la fuite, et qu’il ne peut donc pas s’agir d’une réaction s’apparentant à un délit d’initié.

Connaisse pas la machine à café

Avatar de ProFesseur Onizuka Abonné
Avatar de ProFesseur OnizukaProFesseur Onizuka- 08/09/17 à 10:49:55

Signaler ce commentaire aux modérateurs :

C'est beau l'argent-dette à l'Américaine, bientôt en France la notation des particuliers pour leur louer de l'argent

Avatar de Elhinor D'Hyrth Abonné
Avatar de Elhinor D'HyrthElhinor D'Hyrth- 08/09/17 à 11:11:40

Signaler ce commentaire aux modérateurs :

Ah mais ça veut dire que potentiellement, il pourrait y avoir des retombées en France aussi, ne serait-ce qu'avec Paypal, qui est considéré comme une banque, et qui gère toutes sortes de paiements, abonnements, etc ?  

Avatar de gloutch INpactien
Avatar de gloutchgloutch- 08/09/17 à 11:17:04

Signaler ce commentaire aux modérateurs :

Je ne suis pas juriste, mais dans un tel cas ils sont réputés être au courant et ça sera à eux de prouver qu'ils n'ont pas eu de contact avec des personnes au courant avant la vente des actions. Autant dire que ça sent pas bon.
 Après il faut savoir que pour des dirigeants d'entreprise cotées il est souvent nécessaire pour eux d'annoncer à l'avance leur intention de faire des ventes. Il se peut donc que ces ventes aient été initiées bien avant l'intrusion.

http://www.afep.com/uploads/medias/documents/Prevention_des_delits_d_inities_070...
 

Édité par gloutch le 08/09/2017 à 11:20
Il n'est plus possible de commenter cette actualité.
Page 1 / 4