Equifax piraté, 143 millions de clients dérobés

Equifax est la victime de la plus récente piraterie informatique commise contre une firme américaine. L’attaque est de taille : 143 millions de clients américains, canadiens et britanniques pourraient avoir été touchés.

Les cyberpirates ont volé les noms, numéros de sécurité sociale, dates de naissance et même parfois les numéros de permis de conduire des clients d’Equifax, a dévoilé l’entreprise. La firme croit que 209 000 clients américains ont vu leurs numéros de cartes de crédits dérobés. Les documents de crédit de 182 000 autres personnes ont aussi fait l’objet d’un accès illégal.

Le nombre de Canadiens touchés par l’attaque n’a pas encore été rendu public par Equifax, rapporte le Toronto Star. Le quotidien ontarien présente le cas d’au moins un Canadien qui a reçu une lettre suspecte affirmant provenir d’Equifax. La missive lui demandait de se rendre vers un site pour vérifier un montant de 88 $ ajouté à son crédit, mais son fureteur web a immédiatement bloqué le site, le jugeant peu fiable.

La lettre était datée du 24 août. Equifax avait pris connaissance de l’intrusion dans ses systèmes le 29 juillet, avant de finalement le faire savoir le 7 septembre dernier. Le délai pourrait avoir été exigé par les autorités américaines pour éviter de nuire à leur enquête, mais Equifax n’a pas émis de commentaire sur ce point.

HAUT RISQUE DE VOLS D’IDENTITÉ

Equifax organise, assimile et analyse les données de plus de 820 millions de consommateurs et de plus de 91 millions d’entreprises dans le monde, rappelle le Toronto Star. Elle conserve aussi dans ses systèmes les données fournies par quelque 7 100 employeurs.

Dans des propos rapportés par Radio-Canada, Avivah Litan, un analyste de la sécurité chez Gartner, a soutenu que « sur une échelle de 1 à 10, c’est un 10 en matière de vol d’identité potentiel ». De son côté, Paul Martini, PDG d’Iboss, une firme de cybersécurité, soutient sur Bloomberg.com que cet acte de piratage jette tous les précédents dans l’ombre, en raison non seulement du volume de données touchées, mais de leur nature.

L’entreprise a mis sur pied le site www.equifaxsecurity2017.com, auquel les consommateurs peuvent accéder pour vérifier si leurs informations ont été compromises. Le site offre aussi, gratuitement, un suivi du dossier de crédit et de la protection contre le vol d’identité.

VENTES D’ACTIONS SUSPECTES

Par ailleurs, une transaction réalisée entre le moment où Equifax a découvert l’attaque et celui où elle l’a rendue publique fait jaser. Le 2 août, soit trois jours après la découverte de l’attaque, le directeur financier John Gamble a vendu des actions d’Equifax pour une valeur de 946 374 dollars américains (1,5 M $CA). Joseph Loughran, président des solutions d’information U.S., en a vendu pour 584 099 dollars américains (709 183 $ CA) et Rodolfo Ploder, président des solutions de ressources humaines, pour 250 458 dollars américains (304 094 $CA).

Aucune de ces transactions n’avait été enregistrée sur une liste relevant de la règle 10b5-1 de la Securites and Exchange Commission. Cette règle permet aux dirigeants d’une firme, notamment ceux qui vendent des actions de leur entreprise à intervalle régulier, d’annoncer à l’avance leurs transactions, afin justement d’éviter d’être soupçonnés de délits d’initiés.

Dans les heures suivant l’annonce de l’attaque, l’action d’Equifax a rapidement perdu 13 % de sa valeur. En admettant que les trois dirigeants ont vendu une petite partie de leurs actions d’Equifax, la porte-parole de l’entreprise, Ines Gutzmer, a soutenu qu’ils l’ont fait à un moment où ils « n’avaient aucune connaissance qu’une intrusion s’était produite ». Juste un bon « timing », semble-t-il…

Cette cyberattaque n’a pas fini de faire jaser et montre bien à quel point les données sensibles, notamment financières, des gens restent vulnérables.

La rédaction vous recommande :

• Les pirates à l’abordage des institutions financières
• Cyberattaques : la majorité des grandes entreprises à risque
• La banque centrale russe victime d’une cyberattaque