Equifax : le vol massif de données prend une dimension transatlantique

Sécurité
equifax-bilan-hack

L’attaque contre Equifax a exposé les données de plus de 15 millions de Britanniques… et probablement les permis de conduire de 11 millions d’Américains.

Le bilan de l’attaque informatique subie par Equifax n’est pas encore gravé dans le marbre.

Depuis le 7 septembre 2017, date à laquelle elle a fait la lumière sur cet « incident de sécurité »*, l’agence américaine d’évaluation de crédit réactualise régulièrement la liste des victimes potentielles, initialement dénombrées à 143 millions.

La semaine passée, le compteur était passé à 145,5 millions, à l’issue de l’enquête conduite par la firme de cybersécurité Mandiant.

À la même occasion, Equifax avait rectifié une estimation : ce ne sont pas 100 000, mais 8 000 citoyens canadiens qui ont été touchés.

Les Britanniques ont quant à eux dû prendre leur mal en patience, officiellement le temps de définir, avec les autorités nationales, un processus de notification des consommateurs.

Ils savent, depuis ce mercredi, que 15,2 millions d’entre eux sont concernés. Parmi eux, environ 700 000 ont pu se faire dérober des « informations sensibles ». Ils seront avertis par courrier et se verront proposer des solutions de protection d’identité.

Des permis par millions

Parmi les données exposées lors de l’attaque figurent des noms, des dates de naissance, des adresses électroniques et postales, ainsi que des numéros de sécurité sociale, de carte bancaire… et de permis de conduire.

Sur ce dernier point, pas de communication officielle de la part d’Equifax. À en croire le Wall Street Journal, près de 11 millions d’Américains seraient concernés.

La nouvelle a son importance, les permis pouvant, sur certains services, faire office de preuve d’identité.

En la matière, Richard Smith, remercié le mois dernier après douze ans à la tête d’Equifax, a déjà appelé, lors d’une comparution au Congrès, à un partenariat public-privé pour faire en sorte que les numéros de sécurité sociale ne soient plus utilisés pour la vérification d’identité aux États-Unis.

* La vulnérabilité exploitée se trouvait dans le framework libre Apache Struts, qu’Equifax utilisait sur son portail Web de gestion des litiges. Officiellement, les responsables ne sont toujours pas connus. En coulisse aurait émergé la piste de deux groupes de pirates liés à l’État chinois. Le premier aurait laissé la main au second une fois ouvert l’accès au réseau d’Equifax.


Lire la biographie de l´auteur  Masquer la biographie de l´auteur