LEBIGDATA.FR I.A, Cloud & Cybersécurité
Equifax, une célèbre entreprise américaine d'évaluation de crédits, a annoncé hier une fuite de données massive de ses dossiers informatisés. Elle concernerait 143 millions de ses clients américains.
Encore une diront certains. Mais cette fois-ci, une fuite massive de données met à mal une entreprise traitant des données personnelles sensibles. Les pirates informatiques n'ont pas seulement récupéré les adresses mails et physiques, les numéros de téléphone ou les dates de naissance, mais également les numéros de permis de conduire, des numéros de carte de crédit, les numéros de sécurité sociale d'une partie des 143 millions de clients américains potentiellement touchés par cette attaque.
En effet, 209 000 clients ont vu fuité leurs cartes de crédit enregistrées sur le service et 182 000 personnes sont exposées par la fuite de documents d'identification personnelle.
Les clients américains, plus nombreux, sont évidemment les plus touchés. Mais il ne faut pas négliger la détresse des Anglais et des Canadiens ayant souscrit au service de l'entreprise Equifax.
Un long processus d'enquête
Cette attaque ne date pourtant pas d'hier. Equifax explique dans son communiqué qu'elle a découvert cette fuite de données massive le 29 juillet dernier. Elle a directement pris des mesures pour stopper l'attaque, puis a engagé une société spécialisée dans la cybersécurité pour évaluer les dégâts et comprendre le processus de l'intrusion.
Elle dit également avoir fait appel aux forces de l'ordre, mais ne s'épanche pas sur les détails de cette fuite. Il est encore difficile de connaître le modus operandi des pirates et la liste des données volées. Elle précise tout de même que l'attaque a eu lieu entre mi-mai et le mois de juillet.
La gestion de la crise par Equifax est vertement critiquée
Les clients directement touchés sont contactés par téléphone.Pour aider les autres clients à savoir si leurs données sont potentiellement concernées, Equifax a mis en place un site Web dédié qui n'a pas vraiment plu aux plus soucieux de leur sécurité. En effet, pour retrouver son dossier il faut entrer son nom et les 6 premiers chiffres de son identifiant de sécurité sociale.
Afin de rassurer ses clients américains, la firme aux 3 milliards de dollars de chiffre d'affaires annuel propose un an de gratuité à son service d'évaluation de crédit et l'accès à TrustedID, une application qui assure le chiffrement des données confiées à Equifax.
Cependant, Techcrunch s'est penché sur les conditions d'adhésion à ce service de protection. Selon le site Web, l'adhésion est possible en échange de l'abandon d'engager un recours collectif en justice. La ligne téléphonique ouverte entre 7 heures et 1 heure du matin ne semble pas satisfaire les clients en colère qui ont soit du mal à accéder à un conseil, soit se font raccrocher aux nez.
De son côté Bloomberg signale que trois des dirigeants ont vendu, le 1er et le 2 aout dernier, pour un total de 1,8 million de dollars d'actions en bourse. Le directeur financier John Gamble a vendu à lui seul l'équivalent 950 000 dollars de titres. Selon les propos recueillis par l'AFP auprès d'Equifax, les personnes concernées n'avaient pas connaissance de la faille de sécurité à ces dates et n'ont donc pas commis de délit d'initié. Après l'annonce faite le 7 septembre, le titre boursier a chuté de 13 %.
Une leçon de droit à l'européenne
Si ce n'est pas la fuite de données la plus importante, les informations particulièrement sensibles potentiellement dans les mains des cybercriminels poussent à s'interroger sur les pratiques de ce type d'entreprise. Cela pose également la question de la mise en place d'une régulation similaire au GDPR aux États-Unis.
Dans le cadre de la nouvelle loi européenne applicable au 18 mai 2018, une entreprise dont les données concernent des citoyens de l'Union européenne devra signaler l'atteinte aux données personnelles sous 72 heures. Si le règlement était actuellement appliqué aux États-Unis, Equifax aurait dû payer une amende de près de 68 millions de dollars, selon les hypothèses de Techcrunch.
- Partager l'article :
