Vol de données chez Equifax : le climat d’incertitude persiste

JuridiqueRégulationsSécurité
hack-equifax

Une semaine après l’officialisation de l’incident de sécurité majeur qui a touché Equifax, subsistent de nombreuses zones d’ombre.

Une semaine s’est écoulée depuis l’officialisation, par Equifax, d’un incident de sécurité qui a potentiellement exposé les données personnelles de 143 millions d’individus.

Depuis ces révélations, le cours boursier de l’agence américaine d’évaluation de crédit a chuté de plus de 30 %.

La baisse se poursuit depuis l’ouverture ce vendredi, dans un contexte qui reste émaillé de nombreuses zones d’ombre.

Plusieurs parlementaires américains, dont le républicain Orrin Hatch, président de la commission des finances au Sénat, ont exhorté Equifax à davantage de transparence, notamment sur la chronologie des événements.

Le groupe, qui compte environ 10 000 employés et réalise près de 3 milliards de dollars de chiffre d’affaires annuel, a pointé du doigt une Web app dans laquelle se trouvait une faille que des tiers ont exploitée pour accéder à des noms, des dates de naissance, des adresses postales, ainsi que des numéros de sécurité sociale et de permis de conduire.

Il affirme avoir découvert l’intrusion le 29 juillet, alors qu’elle durait approximativement depuis la mi-mai. Un délai qui lui a valu des poursuites en justice.

Rendez-vous en justice

Lundi dernier, USA Today recensait déjà plus d’une vingtaine de recours collectifs intentés aux États-Unis, dont certains contre la filiale Equifax Information Services.

Une plainte déposée en Californie pour « négligence » souligne que la firme avait déjà subi des problèmes de sécurité – de moindre ampleur – en 2013 et en 2016.

Une autre requête aux tribunaux formulée dans le même État se concentre sur l’offre TrustedID, qui associe protection contre l’usurpation d’identité et suivi de dossier de crédit.

Il a été décidé de la proposer gratuitement pendant un an à toute personne potentiellement touchée par le hack. Les conditions de souscription ont toutefois soulevé des questions, notamment parce qu’elles impliquaient d’accepter de ne pas enclencher d’action collective contre Equifax.

Sous la pression, l’agence a fait machine arrière et apporté d’autres modifications, tout particulièrement une protection supplémentaire (sous la forme d’un générateur aléatoire) associée aux codes PIN délivrés aux clients pour confirmer la souscription.

Enquêtes croisées

Le feuilleton Equifax a donné des idées à certains développeurs. Par exemple à celui qui a créé le bot « DoNotPay ». Conçu à l’origine pour automatiser les démarches de contestation des PV de stationnement, il a été adapté pour le dépôt de plainte sur l’ensemble du territoire U.S., auprès de l’équivalent de nos tribunaux d’instance.

Du côté de la Federal Trade Commission, on a confirmé, ce jeudi, avoir lancé une enquête, dans la lignée de plusieurs avertissements, dont un autour de faux appels téléphoniques passés par de soi-disant employés d’Equifax.

L’agence gouvernementale, qui surveille l’application du droit à la consommation, n’a pas, dans le dossier au présent, le pouvoir d’infliger une amende à Equifax. Elle peut toutefois le pousser à prendre des engagements en matière de gestion de son système d’information et de protection des données.

Les députés Lamar Smith (Texas) et Trey Gowdy (Caroline du Sud) ont pour leur part déclaré que les commissions qu’ils président respectivement (sciences et technologies pour l’un ; surveillance et Réforme du gouvernement pour l’autre) ont également enclenché des investigations.

Président du groupe démocrate au Sénat, Chuck Schumer est allé plus loin, réclamant la démission des dirigeants d’Equifax. En tête de liste, le CEO Richard Smith, qui a accepté le principe d’une session de questions-réponses devant les députés le 3 octobre prochain.


Lire la biographie de l´auteur  Masquer la biographie de l´auteur