C’est l’un des plus gros vols de données personnelles de l’histoire. Hier soir, jeudi 7 septembre, la société américaine Equifax a révélé que des pirates ont réussi à dérober les données personnelles d’environ 143 millions de clients américains, soit la moitié de la population des Etats-Unis. Parmi les données volées figurent des noms, des numéros de sécurité sociale, des dates de naissance, des adresses et, dans certains cas, des numéros de permis de conduire. Par ailleurs, les pirates ont siphonné 209.000 numéros de cartes de crédit et 182.000 documents sensibles relatifs aux crédits.
Pour les hackers, c’est un véritable jackpot car ces données peuvent servir à monter des opérations d’usurpation d’identité. Aux Etats-Unis, le numéro de sécurité sociale est utilisé pour tout un tas de démarches administratives : ouverture de compte bancaire, demande de prêt, location d’appartement, soins médicaux, paiement d’impôts, etc. Un malfrat qui connaît ce numéro et qui dispose d’une série d’autres données sensibles pourra donc essayer de réaliser ces démarches en lieu et place de la véritable personne. Sur le Darknet, ces données sont compilées et recoupées avec d’autres bases de données volées pour constituer des dossiers complets (« fullz ») qui peuvent rapporter gros. Selon Dell SecureWorks, un tel dossier pouvait se monnayer jusqu’à 65 dollars en 2016.
Un piratage qui a duré plus de deux mois
La triste ironie du sort, c’est que la société Equifax est justement spécialisée dans les services de protection et d’analyse de données personnelles et financières de clients qui sollicitent un crédit auprès d’une banque ou d’un organisme de crédit. A ce titre, elle propose même des services pour se prémunir contre… le vol d’identité.
Sur le plan technique, il n’y a pas beaucoup d’informations à l’heure actuelle. Une « faille dans l’un des sites américains » d’Equifax aurait permis d’accéder « à certains fichiers ». Cet accès non autorisé aurait perduré « de mi-mai jusqu’en juillet 2017 », ce qui a visiblement laissé aux pirates le temps d’agir en toute tranquillité. « Le type de vulnérabilité responsable de cette faille de sécurité chez Equifax n’a pas encore été défini (…) Nous supposons que l’attaquant a utilisé une injection SQL (Structured Query Language). Il s’agit d’un langage informatique servant à exploiter des bases de données relationnelles en recherchant, ajoutant, modifiant ou supprimant des informations. Cela consiste donc à injecter, dans la requête SQL en cours, une partie de requête non prévue par le système, ce qui compromet la sécurité », estime Ondrej Vlcek, directeur technique d’Avast, un éditeur d’antivirus, dans un communiqué.
Le hack impacte également des clients au Canada et au Royaume-Uni. Les autres pays ne seraient pas concernés, sachant qu’Equifax a quand même 820 millions de clients dans 24 pays dans le monde. En Europe, la société couvre également les marchés irlandais et espagnol. Elle n’est pas présente en France.
« C’est évidemment un événement décevant pour notre entreprise, qui touche le cœur de notre identité et de notre activité », a regretté le PDG d’Equifax Richard Smith, dans un communiqué. « Je présente mes excuses aux clients pour l’inquiétude et la frustration causées » par cette attaque, poursuit le dirigeant, assurant que l’entreprise procède à un examen de toute sa sécurité informatique. Le dirigeant a également présenté ses excuses dans une vidéo YouTube.
Equifax a mis en place un site internet et un numéro de téléphone pour ses clients et leur promet « gratuitement » une aide contre l’usurpation d’identité. « Le fait que ce soit une société de crédit, rémunérée pour protéger ses clients de brèches de sécurité, qui soit piratée…donne l’impression que leur confiance a été trahie, d’une certaine façon », a réagi auprès de l’AFP Brian Markus, à la tête d’Aires Security, spécialisée dans la cybersécurité. Selon lui, la brèche est « gigantesque ».
Des transactions financières douteuses
En outre, selon des documents financiers disponibles sur le site internet d’Equifax, trois hauts cadres de l’entreprise, dont le directeur financier, ont vendu des titres pour un montant total d’1,8 million de dollars les 1er et 2 août, soit après la découverte de l’intrusion. Selon l’agence Bloomberg, ces transactions n’étaient pas annoncées dans les documents boursiers précédemment publiés par l’entreprise. Sollicitée par l’AFP, Equifax a indiqué que les intéressés « qui ont vendu une petite proportion de leurs actions Equifax le mardi 1er août et le mercredi 2 août, n’avaient aucune connaissance de l’intrusion au moment de la vente de leurs titres ».
Ce piratage de grande ampleur est loin d’être le premier. Le groupe Yahoo avait annoncé l’an dernier qu’un milliard de comptes avaient été piratés tandis que d’autres entreprises américaines ont elles aussi été victimes de piratages, comme le site de rencontres Adult Friend Finder, ou encore le groupe de distribution Target.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.