• 1 heure
  • Facile

Ce cours est visible gratuitement en ligne.

course.header.alt.is_video

course.header.alt.is_certifying

J'ai tout compris !

Mis à jour le 15/12/2020

Les données personnelles dans la nature (Equifax)

Connectez-vous ou inscrivez-vous gratuitement pour bénéficier de toutes les fonctionnalités de ce cours !

L'affaire du piratage d'Equifax a eu un retentissement énorme aux États-Unis en 2017. Que s'est-il passé et pourquoi cet évènement est-il grave ?

Le rôle d'Equifax

Equifax est une agence privée qui évalue la cote de crédit des individus et entreprises aux États-Unis. Elle analyse différents paramètres, comme les crédits déjà en cours, pour analyser si la personne est capable de rembourser de nouvelles dettes ou non.

En somme, Equifax agrège des informations privées, les analyse et crée ensuite une note qu'elle revend. Si vous avez une bonne note chez Equifax, vous pouvez souscrire à un crédit.

L'agence de notation de crédit Equifax
L'agence de notation de crédit Equifax

Le piratage d'Equifax

A la mi-2017, on apprend qu'Equifax a été victime d'un piratage de données massif, à cause entre autres d'une faille dans le framework Java Struts qui n'avait pas été patché par l'entreprise. Ce piratage est d'autant plus critique qu'il a eu pour conséquence la diffusion d'informations personnelles de millions d'américains :

  • Noms

  • Adresses postales

  • Dates de naissance

  • Numéros de sécurité sociale

  • Numéros de permis de conduire

  • ... et même des numéros de cartes bancaires

Si les numéros de cartes bancaires semblent a priori les plus inquiétants, le vrai sujet concerne les numéros de sécurité sociale. En effet, il faut savoir qu'aux États-Unis, ce numéro est considéré comme un identifiant privé. Grâce à lui, on peut ouvrir un compte et demander un crédit... et endommager la réputation bancaire de la personne.

En clair, si je connais votre numéro de sécurité sociale, je peux obtenir un crédit en votre nom ou encore  envoyer de fausses déclarations d'impôts. Ce sera ensuite à vous de prouver que ce n'était pas vous, ce qui se révèle long et compliqué dans la pratique.

Des articles de presse expliquent désormais comment se prémunir au mieux suite à ce vol de données. D'autres recommandent de vérifier si de nouveaux crédits n'ont pas été commandés en notre nom (et régulièrement). Ce sont donc les consommateurs qui paient les pots cassés de ce piratage.

La gestion de la crise par Equifax

Au-delà du piratage, qui a des conséquences graves pour un très grand nombre d'américains, c'est aussi la gestion de la crise qui interpelle :

  • Le piratage a eu lieu mi-mai mais n'a été découvert que fin juillet. Il a donc fallu 2 mois et demi pour qu'Equifax découvre le piratage.

  • Equifax n'a informé le public que le 7 septembre, soit 5 semaines après la découverte du piratage. 5 semaines, pour un évènement de cette importance, c'est long !

  • Les dirigeants ont entre temps vendu une partie de leurs actions, alors que le piratage avait été découvert dans l'entreprise. Ils s'exposent à une poursuite pour délit d'initiés.

  • La réaction des dirigeants de l'entreprise a choqué l'opinion publique, car l'importance de l'évènement a été régulièrement minimisée.

Cela pourrait coûter cher à Equifax, qui fait l'objet d'une class action (action judiciaire collective) pour ses manquements.

Ce qu'il faut retenir

  • Il faut toujours mettre à jour les logiciels, en particulier pour les corrections des failles de vulnérabilités critiques (ici, il s'agissait de Struts qui n'était pas à jour).

  • Le délai que vous mettrez à communiquer sur un piratage sera sévèrement analysé. La façon dont vous réagirez aussi.

  • Les États-Unis utilisent un simple numéro (le numéro de sécurité sociale) comme un identifiant pour autoriser l'ouverture de nouveaux crédits. Ce n'est pas une sécurité suffisante, loin de là. C'est par conséquent tout le système d'identification des individus qui est mis en question aux États-Unis.

Exemple de certificat de réussite
Exemple de certificat de réussite