Piratage massif d'Equifax: les Canadiens exposés à une vague de vols d'identité?

Publié le 08/09/2017 à 14:40

Piratage massif d'Equifax: les Canadiens exposés à une vague de vols d'identité?

Publié le 08/09/2017 à 14:40

Le patron d'Equifax affiche une mine grave, de circonstance.

Equifax Canada s'est refusée pour l'instant à tout commentaire. Le piratage majeur dont a été victime la société mère, qui touche près d'un Américain sur deux mais également des Canadiens, soulève pourtant un risque d'usurpations massives d'identité.

Equifax a indiqué vendredi qu'elle collaborait avec les autorités canadiennes et britanniques afin d'adopter les mesures appropriées à la suite de la faille de sécurité informatique qui touche environ 143 millions de consommateurs américains.

La société de surveillance du crédit à la consommation, l'une des trois plus grandes aux États-Unis, a relevé des accès non autorisés à certains renseignements personnels de Canadiens et de Britanniques, mais elle n'a pas précisé le nombre de personnes touchées à l'extérieur du territoire américain.

De son côté, Equifax Canada s'est refusée pour l'instant à tout commentaire, renvoyant simplement au communiqué de la société mère. «Les données sont tout autant vulnérables», met en garde Jonathan Care, directeur de recherche chez Gartner. Pour une raison très simple: les attaques sont mondiales et les architectures des systèmes de protection souvent proches d'un pays à l'autre.

Le vol de renseignements personnels aux États-Unis, commis entre la mi-mai et juillet, touche le nom des citoyens, leur numéro d'assurance sociale, leur date de naissance, leur adresse et, dans certains cas, leur numéro de permis de conduire. Equifax indique aussi que les voleurs ont subtilisé les numéros de carte de crédit d'environ 209 000 consommateurs américains, ainsi que certains documents contenant des renseignements personnels d'environ 182 000 citoyens aux États-Unis.

L'entreprise soutient que sa base de données principale, sur les évaluations de crédit, ne semble pas avoir été touchée. 

Excuses et compensations

Equifax a découvert le piratage le 29 juillet, il y a près de six semaines, mais a attendu jusqu'à jeudi avant d'informer les consommateurs. L'entreprise a refusé de commenter ce délai. Equifax a mis près de 40 jours pour rendre public cette attaque, et a assuré seulement maintenant qu'elle allait saisir les autorités compétentes, laissant supposer que ni la justice ni le FBI n'ont été informés en amont de l'importance de la fuite.

Mais l'entreprise a dû s'expliquer en urgence sur des transactions d'initiés, 3 cadres ayant vendu pour des centaines de milliers de dollars de titres dans les jours qui ont suivi, rapporte l'agence Bloomberg.

«Ils ont vendu un petit pourcentage de leurs actions Equifax», a affirmé le porte-parole de la société basée à Atlanta, et «n'avaient aucune connaissance de l'intrusion à l'époque».

Le PDG de la société, Rick Smith, a présenté ses plus plates excuses dans une vidéo diffusée du YouTube. Il y a indiqué l'ouverture d'un site dédié à l'incident et précisé qu'Equifax offrait en compensation un service gratuit de protection contre le vol d'identité et de suivi du dossier de crédit.

Quels sont l'ampleur et l'impact de ce piratage?

Il ne s'agit pas de l'attaque la plus importante, le portail Yahoo! ayant reconnu en 2016 deux piratages réalisés durant plusieurs années et concernant un milliard de comptes, mais l'attaque contre Equifax a la particularité de toucher des données personnelles particulièrement sensibles.

Cette société fait partie des trois plus grands groupes américains spécialisés dans l'évaluation du crédit et plus particulièrement dans l'établissement de score de crédit, une notation de la solvabilité et fiabilité financière des individus pour l'obtention d'un crédit, l'ouverture de compte ou autre.

Equifax et ses homologues, Experian et TransUnion, utilisent les données personnelles et fiscales des individus ainsi que leurs données comportementales recueillies via leurs connexions sur internet.

Difficile de savoir pour l'instant comment l'attaque a été réalisée, faute d'information de la part d'Equifax, outre que l'attaque semble être passée par internet.

Quels sont les risques pour les consommateurs touchés?

Le risque d'usurpation d'identité est important car ce piratage porte notamment sur les numéros de sécurité sociale, et dans certains cas les permis de conduire. Ces documents font office de pièces d'identité auprès des autorités et administrations locales, la carte d'identité n'existant pas aux États-Unis.

«Equifax n'est pas au niveau en terme de gestion de crise», regrette Gérôme Billois, expert cybersécurité au cabinet Wavestone.

De telles données «peuvent servir à commettre des fraudes ou être revendues, ce qui peut se chiffrer à plusieurs centaines de millions de dollars» de gains pour les pirates, précise M. Billois.

Comment les banques protègent-elles les données de leurs clients?

Le sujet demeure extrêmement sensible pour les établissements financiers qui développent de nombreuses solutions pour protéger les transactions et opérations effectuées par leurs clients (renouvellement automatique des codes de sécurité, authentifications fortes notamment biométriques, etc).

Les montants des budgets alloués à la sécurité informatique demeurent souvent confidentiels, mais on estime qu'ils peuvent atteindre plusieurs centaines de millions d'euros pour une grande banque internationale.

 

À la une

Bourse: nouveaux records pour le Dow Jones et le S&P 500 à Wall Street

Mis à jour à 17:10 | lesaffaires.com, AFP et Presse canadienne

REVUE DES MARCHÉS. La Bourse de Toronto est en hausse et les marchés américains sont mitigés.

À surveiller: Microsoft, Apple et Dollarama

Que faire avec les titres de Microsoft, Apple et Dollarama? Voici quelques recommandations d’analystes.

Bourse: les gagnants et les perdants du 28 mars

Mis à jour à 17:54 | LesAffaires.com et La Presse Canadienne

Voici les titres d'entreprises qui ont le plus marqué l'indice S&P/TSX aujourd'hui.