Une grosse société de crédit américaine, spécialisée dans l’analyse et la protection de données personnelles, a annoncé jeudi 7 septembre avoir subi un gigantesque piratage informatique de sa base de données, qui pourrait concerner potentiellement environ 143 millions de clients américains, soit près de la moitié de la population du pays.
Equifax a détecté le problème le 29 juillet et a “immédiatement agi” en
demandant une enquête à une société de sécurité informatique pour évaluer les dommages, a indiqué l’entreprise dans un communiqué. Ironie du sort, Equifax ,basée à Atlanta (Géorgie, sud-est), est spécialisée dans la protection et l’analyse de données personnelles et financières de clients qui sollicitent un crédit auprès d’une banque ou d’un organisme de crédit, dans le monde entier. Equifax promet sur son site internet de prémunir ses clients contre “le vol d’identité”. Et il sont nombreux, puisque la société “analyse les données de plus de 820 millions de consommateurs et plus de 91 millions d’entreprises dans le monde”, selon son site internet.
Noms, numéros de sécurité sociale, dates de naissance, adresses et numéros de permis de conduire volés
“Les criminels ont exploité une faille informatique d’un site internet américain pour accéder à certains dossiers” entre “mi-mai et juillet”, précise Equifax, selon laquelle “l’incident concerne potentiellement environ 143 millions de clients aux Etats-Unis“. Selon l’entreprise, les pirates ont obtenu les noms, numéros de sécurité sociale, dates de naissance, adresses et, dans certains cas, les numéros de permis de conduire. Autant d’informations pouvant servir à des usurpations d’identité. Equifax, qui dit collaborer avec les autorités, révèle aussi que les numéros de cartes de crédit de 209 000 clients américains ont été piratés ainsi que les documents sensibles relatifs aux crédits de 182 000 personnes. L’entreprise ajoute que des clients, dans une moindre mesure, sont concernés au Canada et au Royaume-Uni. Selon elle, l’attaque n’aurait pas touché d’autre pays.
Que risquent les consommateurs dont les données ont été volées ? Patrick Berdugo, directeur général France du spécialiste en sécurité F5 Networks, indique à Solutions Numériques: « Des attaques comme celles-ci peuvent être particulièrement destructrices car beaucoup dans ce secteur utilisent les mêmes données. Or les pirates n’attendent généralement pas longtemps avant pour tenter de piéger les consommateurs, que ce soit ceux qui ignorent que leurs données ont été compromises ou bien ceux qui utilisent les mêmes mots de passe sur plusieurs comptes en ligne. Ce piratage est donc susceptible de donner lieu à des tentatives de phishing utilisant les adresses de messagerie dérobées dans le cadre de cette violation. De plus, comme des données personnelles ont également été exposées, les consommateurs risquent également que ces dernières soient utilisées à des fins frauduleuses. Une prudence supplémentaire est nécessaire dans les semaines et même les mois à venir, car des tentatives d’arnaques ciblant les personnes touchées dans cette affaire sont susceptibles d’être lancées. »
Un examen de toute la sécurité informatique en cours
Le PDG d’Equifax Richard Smith, cité dans le communiqué, a regretté: “C’est évidemment un événement décevant pour notre entreprise, qui touchele cœur de notre identité et de notre activité”. “Je présente mes excuses aux clients pour l’inquiétude et la frustration causées” par cette attaque, poursuit le dirigeant, assurant que l’entreprise procède à un examen de toute sa sécurité informatique.
Equifax a mis en place un site internet et un numéro de téléphone pour ses clients et leur promet “gratuitement” une aide contre l’usurpation d’identité.
Rick Smith, le président et PDG d’Equifax s’exprime même dans une vidéo sur le site de l’entreprise pour expliquer l’attaque…
“Le fait que ce soit une société de crédit, rémunérée pour protéger ses clients de brèches de sécurité, qui soit piratée…donne l’impression que leur confiance a été trahie, d’une certaine façon”, a réagi auprès de l’AFP Brian Markus, à la tête d’Aires Security, spécialisée dans la cybersécurité. Selon lui, la brèche est “gigantesque”.
Des ventes de titres suspectes ?
En outre, selon des documents financiers disponibles sur le site internet d’Equifax, trois hauts cadres de l’entreprise, dont le directeur financier, ont vendu des titres pour un montant total d’1,8 million de dollars les 1er et 2 août, soit après la découverte de l’intrusion. Selon l’agence Bloomberg, ces transactions n’étaient pas annoncées dans les documents boursiers précédemment publiés par l’entreprise. Sollicitée par l’AFP, Equifax a indiqué que les intéressés “qui ont vendu une petite proportion de leurs actions Equifax le mardi 1er août et le mercredi 2 août, n’avaient aucune connaissance de l’intrusion au moment de la vente de leurs titres”.
Equifax est présente dans 24 pays et emploie environ 9 900 personnes.
Auteur : Juliette Paoli avec AFP