Equifax Inc. (EFX) a annoncé le 7 septembre 2017 que 143 millions de ses clients ont été touchés par un piratage informatique survenu entre la mi-mai et le mois de juillet. Ce chiffre est passé à 145,5 millions dans les semaines suivantes, puis à 147,9 millions le 1er mars 2018, lorsque la société a déclaré avoir identifié 2,4 millions de victimes supplémentaires.
Après la fermeture du marché le même jour, la société a publié ses résultats financiers du quatrième trimestre et de l’année entière. Le chiffre d’affaires du quatrième trimestre a augmenté de 5 % par rapport à l’année précédente, pour atteindre 838,5 millions de dollars. Le bénéfice net du trimestre a augmenté de 40 % par rapport à l’année précédente, pour atteindre 172,3 millions de dollars. Les revenus et les bénéfices pour l’ensemble de l’année ont également augmenté par rapport à 2016 : les revenus ont augmenté de 7 % pour atteindre 3,4 milliards de dollars, tandis que le bénéfice net a augmenté de 20 % pour atteindre 587,3 millions de dollars. La société a déclaré que le piratage lui avait coûté 26,5 millions de dollars au quatrième trimestre et 114,0 millions de dollars sur l’ensemble de l’année, déduction faite des paiements d’assurance. Le titre, qui a clôturé en baisse de 1,3 %, conformément au S&P 500, est en hausse de 0,6 % en dehors des heures de bourse au moment de la rédaction du présent rapport.
Pas moins de 209 000 numéros de cartes de crédit de clients ont été exposés, selon Equifax, et les documents de litige relatifs à 182 000 consommateurs américains – qui comprennent des informations personnelles – ont été compromis. Les consommateurs britanniques ont également été touchés par la violation ; il est possible que certains Canadiens aient été compromis. Selon le Wall Street Journal, citant une source anonyme, 10,9 millions de données relatives aux permis de conduire américains ont été volées lors de la violation.
La société était au courant de l’attaque depuis le 29 juillet, mais a attendu plus d’un mois pour alerter le public. Le 20 septembre, il a été rapporté que Mandiant, la société FireEye Inc. (FEYE), filiale engagée par Equifax, estime que l’infraction remonte au moins au 10 mars.
Il y a peu d’informations concernant la source de l’attaque, qui fait actuellement l’objet d’une enquête du FBI, mais selon Bloomberg, les similitudes avec les attaques précédentes contre le Bureau de la gestion du personnel et Anthem Inc. suggèrent que l’attaquant pourrait être parrainé par l’État, peut-être chinois. Le fait que les informations des clients d’Equifax ne soient pas apparues sur le marché noir suggère également que les pirates n’étaient pas simplement des criminels. Bloomberg rapporte également que les attaquants ont ciblé des individus spécifiques, peut-être en raison de leur richesse ou de la valeur de leurs renseignements.
Étant donné que la population adulte des États-Unis est d’environ 250 millions de personnes, il y a de fortes chances que vous ayez été touché par cette violation. Il est également possible que vous ayez déjà été victime d’une fraude, puisque l’attaque a commencé il y a près de six mois.
Equifax, basée à Atlanta, l’une des trois grandes agences de renseignements sur le crédit à la consommation – les deux autres sont Experian PLC (Londres : EXPN) et TransUnion (TRU) – collecte des données, notamment des numéros de sécurité sociale, des numéros de cartes de crédit, des numéros de permis de conduire, des informations sur le paiement des loyers et des services publics, ainsi que des données démographiques. Comme le modèle d’Equifax est essentiellement interentreprises, beaucoup de ses clients ne savent pas que leurs données sont stockées par l’entreprise. Outre le fait d’éviter le système financier et de crédit, il n’existe pas de moyen simple de refuser que des données personnelles soient stockées par Equifax. (Voir aussi, 5 des plus grands piratages de données de cartes de crédit de l’histoire).
Comment vérifier si vous avez été touché
Equifax a mis en place un site où vous pouvez vérifier si vos informations ont été compromises en donnant votre nom de famille et les six derniers chiffres de votre numéro de sécurité sociale. Ce site a fait l’objet d’intenses critiques et nous avons supprimé le lien en raison de questions concernant sa sécurité. Il a été créé avec WordPress, une plateforme de blogage standard. Il est hébergé dans un domaine séparé du site principal d’Equifax. La société a négligé d’enregistrer des URL similaires, qui pourraient être utilisées pour des attaques de phishing ; un pirate en chapeau blanc a créé un tel site pour prouver un point, et un compte officiel d’Equifax a tweeté le lien vers le faux site. Plus d’une fois.
Equifax a offert à ses clients – affectés ou non – les services suivants, qu’elle appelle TrustedID Premier : copies d’un rapport de crédit Equifax, surveillance du crédit et alertes automatisées pour les trois principaux bureaux de crédit, possibilité de bloquer l’accès de tiers à votre rapport de crédit Equifax (avec des exceptions), surveillance du numéro de sécurité sociale, et 1 million de dollars d’assurance contre le vol d’identité. La date limite de candidature était le 21 novembre 2017.
L’entreprise affirme que ces services sont tous gratuits, mais le gel de la garantie sur un dossier de crédit n’était pas gratuit au départ – du moins pas pour tout le monde. Lorsque j’ai essayé de geler un dossier de crédit Equifax le 8 septembre, le site de la société m’a dit que le service coûterait 3 dollars et m’a demandé des informations sur ma carte de crédit pour traiter le paiement.
Une capture d’écran de www.freeze.equifax.com (8 septembre 2017 à 11h46 EDT).
En tant que résident de New York, j’ai pu geler gratuitement mon dossier Experian. Le site de TransUnion n’a pas pu traiter la demande dans un premier temps – probablement un symptôme de l’augmentation du trafic – mais m’a ensuite permis de geler gratuitement mon dossier.
Dans une déclaration envoyée par courriel, un porte-parole d’Equifax a déclaré à Investopedia le 14 septembre que la société renonçait à tous les frais de gel des dossiers de crédit et remboursait automatiquement les clients qui avaient payé pour le faire après que le piratage ait été rendu public. Une nouvelle inquiétude – et une défaillance évidente de la sécurité – est maintenant apparue autour des codes PIN que la société a émis aux clients qui avaient gelé leurs rapports de crédit. Ces codes PIN, qui permettent aux clients de débloquer leurs rapports de crédit, suivent un schéma facilement identifiable. Le porte-parole a déclaré que les clients ayant ces codes PIN erronés doivent appeler le 866-349-5191 pour parler à un agent en direct.
Si vous avez obtenu un code PIN après avoir signalé le piratage, il se peut que le vôtre soit l’un de ceux qui sont erronés. Il n’est pas facile de le faire réparer. Douze appels sur la ligne le matin du 15 septembre ont donné huit signaux d’occupation et quatre cas de silence total.
Les services TrustedID Premier que propose Equifax à titre gratuit ne sont gratuits que pendant un an. Un porte-parole d’Equifax a déclaré à Investopedia que l’entreprise ne demande pas d’informations sur les cartes de crédit lorsque les clients s’inscrivent au service et que l’entreprise ne les renouvellera pas automatiquement ni ne facturera de frais. Le tarif standard d’Equifax pour la surveillance du crédit est de 17 dollars par mois.
Que faire si vous avez été touché
Liz Weston, rédactrice en finances personnelles chez NerdWallet, a les conseils suivants pour les personnes touchées par la brèche d’Equifax, qu’elle a partagés avec Investopedia dans un courriel : « Equifax tendra la main aux victimes et leur offrira une surveillance du crédit. Les victimes doivent s’assurer que le fait d’accepter la surveillance ne les empêche pas de se joindre à des poursuites ou à d’autres actions en justice à l’avenir ».
Au départ, la page des conditions de service de TrustedID Premier(version archivée) exigeait en fait que les utilisateurs renoncent à leur droit de se joindre à un recours collectif contre Equifax : « En acceptant de soumettre vos réclamations à l’arbitrage, vous renoncez à votre droit d’intenter un recours collectif ou d’y participer (que ce soit en tant que demandeur nommé ou membre du groupe) ou de partager les dommages-intérêts accordés dans le cadre d’un recours collectif, y compris les réclamations collectives pour lesquelles un groupe n’a pas encore été certifié, même si les faits et les circonstances sur lesquels les réclamations sont fondées se sont déjà produits ou ont existé ». Suite à une réaction négative, la page FAQ de la société a été mise à jour pour indiquer que la clause s’appliquait au service TrustedID Premier, et non au piratage. Depuis le matin du 12 septembre, les conditions de service ne comprennent plus de clause d’arbitrage.
Selon M. Weston, les clients concernés devraient envisager de geler leurs rapports de crédit dans les trois principaux bureaux. Comme mentionné ci-dessus, les bureaux de crédit peuvent facturer des frais pour l’initiation de ce gel. Des frais peuvent également être facturés pour le déblocage des comptes lorsque vous avez besoin d’une vérification de solvabilité (pour demander un service de téléphonie mobile, par exemple). Ces frais sont généralement inférieurs à 10 dollars, mais ils peuvent s’additionner. Weston fait remarquer qu’une autre option consiste à placer une alerte à la fraude sur vos rapports de crédit dans les trois bureaux de crédit. (Pour en savoir plus, voir Comment se rétablir d’un vol d’identité).
D’autres services de surveillance du crédit, non sponsorisés par Equifax, sont également disponibles. Services de protection contre le vol d’identité : Worth Having ? en énumère plusieurs pour que vous puissiez enquêter.
La réponse d’Equifax
Le président et PDG d’Equifax de l’époque, Richard Smith, a déclaré après le piratage que c’était « clairement un incident décevant pour notre entreprise, et qui frappe au cœur de ce que nous sommes et de ce que nous faisons ». Il a démissionné le 26 septembre et ne recevra pas de bonus pour 2017. Son départ fait suite à ceux du chef de la sécurité Susan Mauldin et du chef de l’information David Webb le 14 septembre.
Quelques jours après que l’entreprise ait découvert le piratage en interne – et avant que la brèche ne soit révélée au public – le directeur financier d’Equifax, John Gamble, son président des solutions pour la main-d’œuvre, Rodolfo Ploder, et son président des solutions d’information américaines, Joseph Loughran, ont vendu leurs actions Equifax. Equifax a déclaré dans un communiqué que les dirigeants n’étaient pas au courant de la violation lorsqu’ils ont vendu leurs actions. Gamble, Ploder et Loughran ont gagné collectivement près de 1,8 million de dollars grâce à ces ventes.
En date du 28 février, le titre d’Equifax a chuté de 20,1 % par rapport à sa clôture du 7 septembre (avant l’annonce du piratage) pour atteindre 113,00 $. Après plusieurs retards, Equifax a déclaré qu’elle publierait ses résultats du quatrième trimestre après la clôture du 1er mars.
Que les procès commencent
Reuters a rapporté le 11 septembre que plus de 30 procès – dont un grand nombre de recours collectifs – ont été intentés contre Equifax devant les tribunaux américains. Plusieurs allèguent des violations de la loi sur les valeurs mobilières ; d’autres accusent TrustedID de proposer des services coûteux aux clients qui ont été touchés par la violation des données. Cinq résidents de l’Utah ont poursuivi l’entreprise devant le tribunal de district américain pour défaut de protection des données sensibles des clients. L’entreprise réclame des dommages-intérêts de 5 milliards de dollars et l’imposition de normes industrielles plus strictes.
Quelques clients concernés empruntent une voie moins traditionnelle en demandant à Equifax de leur accorder un recours. Le chatbot DoNotPay fournit une assistance pour déposer une plainte auprès des tribunaux d’État pour les petites créances, où les pénalités maximales vont de 2 500 à 25 000 dollars. Selon le Verge, le robot ne peut que générer des documents pour un procès, et non pas le déposer ou comparaître devant un tribunal.
Le 18 septembre, le FBI et le procureur américain John Horn, basé à Atlanta, ont annoncé une enquête criminelle sur cette violation. Le Bureau de protection financière des consommateurs et 34 procureurs généraux des États mènent actuellement des enquêtes.
M. Smith se rend à Washington
Le 3 octobre, l’ancien PDG Richard Smith a témoigné devant la sous-commission du commerce numérique et de la protection des consommateurs de la Chambre des représentants. Il s’est excusé à plusieurs reprises pour l’échec d’Equifax à protéger les données des consommateurs et a été confronté à des questions sur une série de problèmes liés à la violation et à la réponse d’Equifax. L’action de la société a augmenté à la suite du témoignage, mais est restée bien en dessous des niveaux auxquels elle se négociait avant que le piratage ne soit révélé.
En réponse à des questions concernant la clause d’arbitrage controversée qui a été initialement incluse dans les conditions de service de TrustedID Premier, M. Smith a déclaré que la clause « passe-partout » n’a jamais été destinée à s’appliquer à la violation et a qualifié son inclusion d' »erreur ». Il ne dirait pas la même chose des clauses similaires régissant d’autres services Equifax, qu’il a qualifié de « standard ».
Des ventes d’actions de cadres supérieurs à des moments suspects ont également fait l’objet d’un examen minutieux : Le représentant Jan Schakowsky, démocrate de l’Illinois, a déclaré que la vente « n’avait pas passé le test de l’odeur », mais M. Smith a affirmé qu' »à ma connaissance, ils n’étaient pas au courant » de la violation à ce moment-là.
M. Smith a décrit la brèche comme étant le résultat d’une erreur humaine et d’une défaillance technologique : la personne chargée de veiller à la mise à jour du logiciel Apache Struts – dont la vulnérabilité était connue du public et que les attaquants exploitaient – a échoué, et un scanner qui aurait alerté la société de cette erreur a également échoué.
La réponse boiteuse de l’entreprise à la crise a également fait l’objet de critiques : mise en place d’un site WordPress avec une URL suspecte, incapacité à sécuriser des domaines similaires (et même à diriger les clients vers l’un de ces domaines), manque de personnel adéquat dans les centres d’appels, et, de manière générale, donner l’impression que l’entreprise – qui existe pour collecter, sécuriser et vendre des données sensibles – n’était pas du tout préparée à une cyber-attaque sur ses bases de données. Le représentant Markwayne Mullin, un républicain de l’Oklahoma, a déclaré à M. Smith que sa réaction aurait dû être comme déclencher une alarme incendie : « elle se met immédiatement en place ». Smith a répondu que son équipe avait « suivi le protocole ». Plusieurs représentants ont mentionné que Smith avait fait un discours décrivant la fraude comme une « énorme opportunité » et une « entreprise massive et en pleine croissance » en août – après avoir pris connaissance de la brèche.
Smith a refusé de répondre aux questions sur la source de l’attaque, notamment sur la possibilité qu’il s’agisse d’un acteur étatique. Il a simplement déclaré que le FBI menait une enquête. Il a défendu les investissements d’Equifax dans la cybersécurité pendant son mandat, en disant que lorsqu’il est arrivé il y a douze ans, il n’y avait pratiquement aucun investissement dans la protection des données. L’entreprise a dépensé un quart de milliard de dollars et a engagé une équipe de 225 personnes pour sécuriser les données de l’entreprise, a déclaré M. Smith, en investissant dans la cybersécurité 10 à 14 % du budget informatique de l’entreprise, ce qui est la norme dans le secteur.
Certains représentants ont indiqué que cette violation a soulevé des questions fondamentales sur le rôle du secteur du contrôle du crédit et les droits des consommateurs. « Et si je veux opter pour Equifax ? » a demandé M. Schakowski. Smith a répondu que « cela nécessite une discussion beaucoup plus large sur le rôle des agences de renseignements sur le crédit ». Le représentant Tonko, un démocrate de New York, a fait écho à ce sentiment, en soulignant qu’il n’est pas vraiment un « client », n’ayant jamais choisi de faire des affaires avec Equifax. « Pourquoi cette société peut-elle continuer à exister ? a-t-il demandé. A plusieurs reprises, M. Smith a remis en question la valeur des numéros de sécurité sociale comme moyen de prouver l’identité et a fait de vagues références au fait de rendre « le pouvoir au consommateur ».
La plus grande question de la journée est venue de la démocrate californienne Doris Matsui : « Est-ce que je possède mes données ? Smith n’a pas pu répondre. (Voir aussi, Blockchain pourrait faire de vous – et non d’Equifax – le propriétaire de vos données. )