Vol massif de renseignements personnels chez Equifax

143 millions de consommateurs aux États-Unis seraient touchés par la cyberattaque.
Photo: Mike Stewart Associated Press 143 millions de consommateurs aux États-Unis seraient touchés par la cyberattaque.

Toronto — Equifax a indiqué vendredi qu’elle collaborait avec les autorités canadiennes et britanniques afin d’adopter les mesures appropriées à la suite de la faille de sécurité informatique qui touche environ 143 millions de consommateurs aux États-Unis.

La société de surveillance du crédit à la consommation, l’une des trois grandes aux États-Unis, a relevé des accès non autorisés à certains renseignements personnels de Canadiens et de Britanniques, mais elle n’a pas précisé le nombre de personnes touchées à l’extérieur des États-Unis.

Le vol de renseignements personnels aux États-Unis, commis entre la mi-mai et juillet, touche le nom des citoyens, leur numéro d’assurance sociale, leur date de naissance, leur adresse et, dans certains cas, leur numéro de permis de conduire. Equifax indique aussi que les voleurs ont subtilisé les numéros de carte de crédit d’environ 209 000 consommateurs américains, ainsi que certains documents contenant des renseignements personnels d’environ 182 000 citoyens aux États-Unis.

L’entreprise soutient que sa base de données principale, sur les évaluations de crédit, ne semble pas avoir été touchée.

Equifax a découvert le piratage le 29 juillet, il y a près de six semaines, mais a attendu jusqu’à jeudi avant d’informer les consommateurs. L’entreprise a refusé de commenter ce délai. Equifax Canada s’est refusé pour l’instant à tout commentaire, renvoyant simplement au communiqué de la société mère.

Le géant de la surveillance du crédit à la consommation, dont le siège est à Atlanta, a mis sur pied un site en ligne, www.equifaxsecurity2017.com, et un centre d’appels (866-447-7559) pour répondre aux inquiétudes des consommateurs.

« Sur une échelle de 1 à 10, c’est un 10 en matière de vol potentiel d’identité, estime Avivah Litan, analyste en sécurité à la firme Gartner. Les sociétés de surveillance du crédit colligent à notre sujet tellement de renseignements qui concernent à peu près tous les aspects de notre existence. »

Il ne s’agit pas de la pire affaire de piratage de l’histoire : le record appartient toujours à Yahoo, qui a été la cible d’au moins deux vols distincts qui ont touché plus d’un milliard de ses clients dans le monde. Par contre, les voleurs n’ont pas eu accès aux numéros d’assurance sociale ou de permis de conduire.

Le vol chez Equifax pourrait être ainsi le plus important en ce qui a trait aux numéros d’assurance sociale, la méthode la plus utilisée aux États-Unis pour confirmer l’identité d’une personne. Nathaniel Gleicher, ancien responsable des politiques de cybersécurité à la Maison-Blanche dans le gouvernement de Barack Obama, croit d’ailleurs que le numéro d’assurance sociale ne devrait plus être utilisé comme un outil valable de contrôle d’identité.

«C’est le genre de données que tous les pirates veulent, pour faire des usurpations d’identité et pirater les comptes», juge Darren Hayes, enseignant spécialisé dans la cybersécurité à Pace University. «Ce n’est pas comme pour le piratage de Yahoo car alors on pouvait changer son mot de passe. Là, les données ont disparu dans la nature. Il n’y a rien que l’on puisse changer», poursuit-il. Selon certaines rumeurs, les données dérobées à Equifax seraient déjà en vente sur le «dark web», partie cachée d’internet où se déroulent des transactions illégales.

Peter Levin, à la tête de la société Amida Technology Solutions, spécialisée dans la protection des données, s’inquiète des conséquences sur la sécurité nationale de l’attaque contre Equifax, qui succède au piratage de données relatives à des millions de fonctionnaires fédéraux, dévoilée en 2015. «Les conséquences possibles en matière de sécurité nationale sont très importantes», dit M. Levin. Et comme la plupart des employés fédéraux ont des dossiers de crédit, «ces gens ont été piratés deux fois», ajoute-t-il, ce qui donne à des ennemis potentiels des informations toutes fraîches. «On vient juste de donner aux +méchants+ encore plus d’informations. Même s’ils ne sont pas à l’origine de l’attaque, ils peuvent les acheter», s’inquiète-t-il.

Le titre d’Equifax a chuté de 13 % à la Bourse de New York après l’annonce de jeudi. On a appris par ailleurs que trois dirigeants de la compagnie ont vendu des actions, valant en tout 1,8 million, les 1er et 2 août, quelques jours après la découverte du piratage, selon des documents déposés à l’autorité des marchés financiers. Quand Bloomberg News a rapporté la vente d’actions, Equifax a indiqué que les trois dirigeants n’étaient pas au courant du vol perpétré dans son système au moment des transactions.

5 commentaires
  • Pierre Schneider - Abonné 9 septembre 2017 06 h 49

    On nous doit des explications

    Est-ce qu'Equifax a mon numéro d'assurance sociale ? Et, si tel est le cas, qui le leur a donné sans mon consentement.

    Nous devons exiger des réponses.

    • Kevin Clancy - Inscrit 10 septembre 2017 19 h 16

      @Pierre Schneider

      Ils l'ont si vous avez déjà offert votre numéro d'assurance social à n'importe organisme ou particulier qui fait affaires avec Équifax pour des enquêtes de crédit. Par exemple, une demande de carte ou de prêt, une enquête de crédit pour un logement où une maison, ou encore un emploi qui demandait votre NAS.

      À savoir si notre information a été touchée par cette attaque, Equifax ne semblent pas offrir de réponse claire. Déjà que cela leur a prit 6 semaines pour nous en aviser.

    • Jean-Yves Arès - Abonné 11 septembre 2017 13 h 13

      Entre autres les assureurs vous demande si vous les autorisez a consulter votre dossier de crédit au moment de vous faire une cotation pour leurs produits. Et déjà là on peut croire que ceux ces firmes de cotations détiennent les informations par défaut, c'est a dire sans même qu'il y ai eut demande d'étude de crédit.

  • Gilles Théberge - Abonné 9 septembre 2017 09 h 42

    "Quand Bloomberg News a rapporté la vente d’actions, Equifax a indiqué que les trois dirigeants n’étaient pas au courant du vol perpétré dans son système au moment des transaction".

    Ha ha ha ha ha !

    Qui sont les naïfs qui vont croire ça.

    • Jean-Yves Arès - Abonné 11 septembre 2017 13 h 17

      En effet, faut être naïf pour croire que le marché boursier n'est pas criblé de transactions d'initiés.

      La SEC a là un beau sujet pour se donner de la crédibilité face au public !