La société de crédit américaine Equifax, bien connue depuis la fin du XIX ème siècle et qui emploie près de 10 000 personnes, vient d’annoncer qu’elle a subi un « énorme » piratage de ses données, qui pourrait potentiellement toucher 143 millions de clients, essentiellement américains, canadiens et britanniques. Ce qui frappe ici, c’est le volume et l’importance de l’attaque et bien entendu, les conséquences potentielles qu’elle peut avoir sur les clients.

Quand comprendra-t-on ?

On n’en finit pas de battre des records. On a connu TJX avec l’ineffable Albert Gonzalez, Heartland, Home Depot, autant d’attaques ciblées qui ont fait des dégâts considérables. Maintenant il s’agit d’Equifax, un « spécialiste » de la protection des données financières, qui fait état d’une attaque qui potentiellement pourrait concerner 143 millions de ses clients. Equifax qui dans le même temps, sur son site Internet, promet à ses clients de les protéger contre le vol d’identités…

Personne ne s’étonnera de cette malheureuse affaire, car la dangerosité chronique des infrastructures d’Internet n’est pas reconnue, considérée comme inéluctable et avec laquelle il faut savoir vivre…

Personne ne veut décidément comprendre que les infrastructures Internet sont « minées » et que des TJX et Equifax, il y en aura des dizaines d’autres et qu’à terme, nous serons tous concernés par ses défaillances.

Nous sommes en quelque sorte dans la position du conducteur au volant de sa voiture, qui a un pneu de crevé, mais qui se dit que tant que ça avance on peut l’ignorer. Certes, sauf que dans quelques km, ce sera la roue entière qui sera détruite.

Mais au-delà de l’attaque elle-même, l’attitude d’Equifax est particulièrement contestable, qui a détecté le problème le 29 juillet et a communiqué sur sa « réaction immédiate », en se rapprochant d’une compagnie de sécurité, à qui elle a demandé d’évaluer l’ampleur des dégâts.

Il semble pourtant que les Etats-Unis fonctionnent encore sur le même calendrier grégorien que le reste du monde, à moins que cela ait changé récemment et que pour ce calendrier, septembre vient 2 mois après juillet. L’information du piratage n’ayant été rendue publique que ce mois-ci.

Manifestement Equifax a une conception de l’ « immédiateté » qui n’est pas tout à fait la même que la nôtre.

Les conséquences

L’attaque des criminels a pu s’effectuer grâce à une faille d’un site Internet américain, qui leur a permis d’accéder à de nombreux dossiers entre les mois de mai et juillet 2017 et qui concernent effectivement 143 millions de comptes. Parmi les informations recueillies, figurent plusieurs données d’identité : numéros de permis de conduire, adresses, numéros d’assurance sociale, noms, prénoms, autrement dit tout ce qu’il faut pour reconstruire le profil des clients.

Equifax a ajouté que les numéros de 209 000 cartes bancaires ont été volés, de même que les informations confidentielles de 182 000 dossiers de crédits.

Un comportement contestable

Mais le pire pourrait ne pas être là. Car comme l’a signalé Bloomberg, avant que l’attaque ait été rendue publique, plusieurs managers de la compagnie, dont le directeur financier, ont vendu pour près de 2 millions $ de titres (les 1 er et 2 août), sans que ces transactions n’aient été prévues ni planifiées. Si l’enquête le démontre, cela voudrait dire que ces managers auront fait exactement la même chose que le tristement célèbre Francesco Schettino, commandant du Costa-Concordia, qui avait choisi de se sauver avant que son bateau coule, sans se préoccuper du sort de ses milliers de passagers.

Tout cela est très choquant (si la faute est confirmée) et Richard Smith, président d’Equifax, aura bien du mal à convaincre ses clients que les « vendeurs » n’étaient pas au courant de cette attaque, au moment où ils ont décidé de vendre une partie, faible il est vrai, de leurs stocks (ici). Ou alors son directeur financier vit dans une bulle sans contacts avec ce qui se passe dans sa compagnie.

« This is clearly a disappointing event for our company and one that strikes at the heart of who are and what we do. I apologize to consumers and our business customers for the concern and frustration this causes”.

D’accord pour les excuses, mais il n’est pas sûr que cela suffise pour des clients qui attendent avec angoisse le courriel qui pourrait leur annoncer que leurs données confidentielles sont entre les mains des criminels.

Rendez-vous maintenant à la prochaine attaque. Le record à battre est désormais de 143 millions de comptes…