Noms, numéros de cartes de crédit ou de sécurité sociale: des dizaines de millions de données personnelles sensibles sont dans la nature après le méga-piratage d’une société de renseignement de crédit américaine, une attaque particulièrement massive et préoccupante, selon les experts en cybersécurité.
Equifax, qui récolte et analyse les données personnelles de clients qui sollicitent un crédit, a révélé jeudi une intrusion dans ses bases de données. Les pirates ont eu accès, de mi-mai à juillet, aux noms, adresses, dates de naissances, numéros de sécurité sociale et de permis de conduire de 143 millions d’Américains, autant d’informations qui peuvent servir à une usurpation d’identité.
Le numéro de sécurité sociale est un sésame indispensable aux Etats-Unis pour travailler légalement, ouvrir un compte en banque ou encore obtenir un permis de conduire et souvent louer un appartement.
Environ 200.000 numéros de cartes de crédit ont aussi été piratés ainsi que plus de 180.000 dossiers de crédits.
Sur la sellette, Equifax dévissait à Wall Street vendredi, perdant 13% à 124 dollars vers 19H00 GMT
Même si cette attaque de grande ampleur n’est pas la première –un milliard de comptes Yahoo ont été piratés ces dernières années– elle est particulièrement préoccupante en raison de la nature des données collectées.
« C’est le genre de données que tous les pirates veulent, pour faire des usurpations d’identité et pirater les comptes », juge Darren Hayes, enseignant spécialisé dans la cybersécurité à Pace University.
« Ce n’est pas comme pour le piratage de Yahoo car alors on pouvait changer son mot de passe. Là, les données ont disparu dans la nature. Il n’y a rien que l’on puisse changer », poursuit-il.
Selon certaines rumeurs, les données dérobées à Equifax seraient déjà en vente sur le « dark web », partie cachée d’internet où se déroulent des transactions illégales.
Mais, selon les experts, il est trop tôt pour déterminer qui est derrière le piratage et quelles en sont les motivations.
« Cela pourrait venir d’un groupe de mercenaires ou alors d’un pays qui pourrait compiler ces informations avec d’autres données », à des fins de manipulation politique, explique James Scott, de l’Institute for Critical Infrastructure Technology, think tank situé à Washington.
Peter Levin, à la tête de la société Amida Technology Solutions, spécialisée dans la protection des données, s’inquiète des conséquences sur la sécurité nationale de l’attaque contre Equifax, qui succède au piratage de données relatives à des millions de fonctionnaires fédéraux, dévoilée en 2015.
« Les conséquences possibles en matière de sécurité nationale sont très importantes », dit M. Levin.
Et comme la plupart des employés fédéraux ont des dossiers de crédit, « ces gens ont été piratés deux fois », ajoute-t-il, ce qui donne à des ennemis potentiels des informations toutes fraîches.
« On vient juste de donner aux méchants encore plus d’informations. Même s’ils ne sont pas à l’origine de l’attaque, ils peuvent les acheter », s’inquiète-t-il.
Les experts se demandent également pourquoi Equifax, qui dit avoir découvert le problème le 29 juillet, a mis plus d’un mois à informer ses clients. Pour Darren Hayes (Pace University), « ce délai est vraiment inquiétant ».
Au moins deux plaintes en nom collectif ont déjà été déposées par des clients contre Equifax.
« Equifax détient l’une des bases de données clients les plus importantes et ils auraient dû être mieux préparés aux tentatives d’intrusion », selon l’avocat John Yanchunis, qui défend certains clients.
Equifax « analyse les données de plus de 820 millions de consommateurs et plus de 91 millions d’entreprises dans le monde », selon son site internet.
D’autres points restent encore à éclaircir, comme le fait de savoir si les données étaient cryptées, ce qui les rendrait plus difficiles à vendre.
Des plaintes ont été déposées vendredi par des investisseurs accusant Equifax d’avoir laissé trois hauts cadres vendre pour 1,8 million de dollars d’actions après la découverte du piratage. Un porte-parole du groupe a assuré à l’AFP que ces personnes « n’avaient aucune connaissance de l’intrusion au moment de la vente de leurs titres ».
« Le gouvernement devrait envisager de changer les numéros de sécurité sociale », qui sont fournis à vie, estime aussi M. Hayes.
Pour certains experts, les États-Unis devraient aussi s’inspirer d’un futur règlement européen, qui obligera l’an prochain les entreprises à informer leurs clients de tout piratage sous 72 heures.
Comment pouvez-vous nous aider à vous tenir informés ?
Epoch Times est un média libre et indépendant, ne recevant aucune aide publique et n’appartenant à aucun parti politique ou groupe financier. Depuis notre création, nous faisons face à des attaques déloyales pour faire taire nos informations portant notamment sur les questions de droits de l'homme en Chine. C'est pourquoi, nous comptons sur votre soutien pour défendre notre journalisme indépendant et pour continuer, grâce à vous, à faire connaître la vérité.