Vol massif de renseignements chez Equifax

TORONTO — Equifax a indiqué vendredi qu’elle collaborait avec les autorités canadiennes et britanniques afin d’adopter les mesures appropriées à la suite de la faille de sécurité informatique qui touche environ 143 millions de consommateurs aux États-Unis.

La société de surveillance du crédit à la consommation, l’une des trois grandes aux États-Unis, a relevé des accès non autorisés à certains renseignements personnels de Canadiens et de Britanniques, mais elle n’a pas précisé le nombre de personnes touchées à l’extérieur des États-Unis.

Le vol de renseignements personnels aux États-Unis, commis entre la mi-mai et juillet, touche le nom des citoyens, leur numéro d’assurance sociale, leur date de naissance, leur adresse et, dans certains cas, leur numéro de permis de conduire. Equifax indique aussi que les voleurs ont subtilisé les numéros de carte de crédit d’environ 209 000 consommateurs américains, ainsi que certains documents contenant des renseignements personnels d’environ 182 000 citoyens aux États-Unis.

L’entreprise soutient que sa base de données principale, sur les évaluations de crédit, ne semble pas avoir été touchée.

Equifax a découvert le piratage le 29 juillet, il y a près de six semaines, mais a attendu jusqu’à jeudi avant d’informer les consommateurs. L’entreprise a refusé de commenter ce délai.

Equifax Canada s’est refusé pour l’instant à tout commentaire, renvoyant simplement au communiqué de la société mère.

Le géant de la surveillance du crédit à la consommation, dont le siège est à Atlanta, a mis sur pied un site en ligne, www.equifaxsecurity2017.com , et un centre d’appels (866-447-7559) pour répondre aux inquiétudes des consommateurs.

«Sur une échelle de 1 à 10, c’est un 10 en termes de vol potentiel d’identité, estime Avivah Litan, analyste en sécurité à la firme Gartner. Les sociétés de surveillance du crédit colligent à notre sujet tellement de renseignements qui concernent à peu près tous les aspects de notre existence.»

Il ne s’agit pas de la pire affaire de piratage de l’histoire: le record appartient toujours à Yahoo, qui a été la cible d’au moins deux vols distincts qui ont touché plus d’un milliard de ses clients dans le monde. Par contre, les voleurs n’ont pas eu accès aux numéros d’assurance sociale ou de permis de conduire.

Le vol chez Equifax pourrait être ainsi le plus important en termes de numéros d’assurance sociale, la méthode la plus utilisée aux États-Unis pour confirmer l’identité d’une personne. Nathaniel Gleicher, ancien responsable des politiques de cybersécurité à la Maison-Blanche dans l’administration de Barack Obama, croit d’ailleurs que le numéro d’assurance sociale ne devrait plus être utilisé comme un outil valable de contrôle d’identité.

Le titre d’Equifax a chuté de 13 pour cent à la Bourse de New York après l’annonce de jeudi. On a appris par ailleurs que trois dirigeants de la compagnie ont vendu des actions, valant en tout 1,8 million $, les 1er et 2 août, quelques jours après la découverte du piratage, selon des documents déposés à l’autorité des marchés financiers. Quand Bloomberg News a rapporté la vente d’actions, Equifax a indiqué que les trois dirigeants n’étaient pas au courant du vol perpétré dans son système au moment des transactions.