Bien qu'il ne s'agisse pas de la plus importante violation de données de l'histoire (cet honneur discutable revient probablement aux 1,5 milliard de comptes Yahoo divulgués entre 2013 et 2014), le piratage d'Equifax se révèle être l'un des plus dévastateurs. Il a exposé les numéros de sécurité sociale, les numéros de cartes de crédit, les dates d'anniversaire, les permis de conduire et les adresses de plus de 143 millions de personnes.
Si vous êtes américain (ou avez travaillé aux États-Unis) et n'êtes pas inquiet à l'heure qu'il est, vous n'avez pas été bien attentif. Voici tout ce que vous devez savoir sur le piratage d'Equifax, de quelle manière il pourrait avoir un impact sur vous et ce que vous pouvez faire pour vous protéger.
Vous ne connaissez pas Equifax ? Eh bien, eux vous connaissent certainement.
Equifax est l'une des quatre grandes agences d'évaluation de solvabilité basées aux États-Unis. Ces agences collectent les informations sur toutes nos habitudes d'emprunt et de paiement afin d'établir des rapports de solvabilité sur nous. Toute institution en capacité de vous accorder un crédit, de gérer votre argent ou de vous envoyer de l'argent peut ainsi accéder à votre rapport de solvabilité pour décider si elle effectue la transaction ou non.
Numéros de sécurité sociale
Dates de naissance
Permis de conduire et autres données d'identification
Adresses
Numéros de carte de crédit et historiques d'achats
Informations sur les crédits et les dettes
Coordonnées bancaires
Mi-mars, des recherches de sécurité ont découvert une vulnérabilité dans le logiciel open source Apache Struts utilisé pour créer certains sites Web comme celui d'Equifax.
Bien qu'un correctif pour cette vulnérabilité ait été publié, Equifax ne l'a apparemment pas mis en œuvre, permettant aux pirates d'accéder à leur système de la mi-mai à la fin du mois de juillet, lorsque Equifax a finalement remarqué la faille et l'a fermée. L'entreprise a ensuite effectué un discret audit interne qui s'est terminé début septembre lorsqu'ils ont publiquement annoncé la faille.
Ce qui veut dire que non seulement les informations personnelles de ces 143 millions de personnes ont été exposées pendant près de 2 mois, mais aussi que les pirates ont eu près de 4 mois pour profiter des identités volées.
Vous voyez un peu le scandale ? Attendez, il y a mieux. Mise à part une gestion déplorable de la sécurité, il est apparu plus tard que plusieurs membres de la direction avaient monnayé d'importants montants de stock-options après la découverte de la faille, mais avant l'annonce publique. Bien que l'entreprise nie le lien entre ces ventes et la faille, on peut dire que ça fait mauvaise impression.
Le piratage d'Equifax ne ressemble à aucun autre piratage dont vous auriez pu entendre parler jusqu'à présent. Des failles antérieures avaient toujours affecté seulement une partie de l'identité en ligne d'une personne : un compte Instagram par ci, un compte Apple par là, peut-être un numéro de carte de crédit... Mais il s'agit ici de la première faille se produisant dans un lieu collectant presque toutes les pièces d'identité reconnues par les institutions.
Cette seule faille offre tout ce dont un voleur aurait besoin pour voler votre identité
En d'autres termes, cet unique piratage d'Equifax a donné aux pirates informatiques absolument tout ce dont ils avaient besoin pour voler votre identité en bonne et due forme.
Il existe plusieurs manières dont les voleurs pourraient utiliser les informations divulguées pour l'usurpation d'identité financière. Ils pourraient :
Ouvrir de nouvelles marges de crédit au sein de différentes institutions et accumuler des dettes de montants indécents
Voler vos remboursements d'impôts et créer des problèmes avec les institutions fiscales
Faire des achats avec vos cartes de crédit
Souscrire à des utilitaires et services en votre nom
Obtenir des prêts étudiants
Ruiner votre cote de solvabilité
Chacun de ces cas peut produire des ramifications sur le long terme affectant votre vie financière et, une fois le pot aux roses découvert, la résolution peut prendre des années. Même résolue, toute la situation peut rendre l'obtention de nouvelles marges de crédit ou d'hypothèques plus difficile et même porter atteinte à vos perspectives d'emploi si l'employeur consulte votre historique.
Il ne s'agit cependant pas seulement d'argent. Les voleurs d'identité pourraient commettre des crimes en votre nom. Tout, du vol à l'étalage à la location d'une chambre dans un hôtel et partir sans payer, en passant par les contraventions pour excès de vitesse. Honnêtement, les criminels seraient bien plus créatifs que n'importe quelle liste que nous pourrions établir.
Le fait est que vous seriez celui ou celle qui paierez la note de ces crimes et la police, les avocats et les agents de recouvrement viendraient toquer à votre porte pour vous arrêter ou réclamer des réparations. Et dans beaucoup de cas vous seriez tenu de vous présenter physiquement dans l'état, quel qu'il soit, dans lequel le crime a eu lieu pour prouver votre innocence.
Equifax a créé un site sur lequel vous pouvez saisir une partie de votre numéro de sécurité sociale pour vérifier si vous avez été touché. Tout à fait, l'entreprise qui n'a pas su protéger vos données personnelles sensibles vous demande de lui en donner plus pour vérifier si vous avez été touché. Et le pire ? Plusieurs investigateurs ont souligné que non seulement le système semble peu sécurisé (surprise !), mais qu'en plus il pourrait représenter un peu plus qu'une tactique de gain de temps de la part de l'entreprise. À la saisie de charabia, on obtient la même réponse qu'en fournissant des informations légitimes.
Ce qui est également frappant, c'est que si vous êtes canadien ou anglais, donc potentiellement touché par le piratage, le système ne propose aucune solution pour vérifier vos données.
En d'autres termes, vous ne devriez pas accorder votre confiance au site Web d'Equifax.
La plupart des données volées correspondent à des documents et pièces d'identité qui peuvent difficilement être modifiés. Ce qui veut dire que même dans plusieurs années, quelqu'un quelque part peut accéder à ces données et s'en servir, vous infligeant tout ce qui a été mentionné ci-dessus.
Remettre le génie dans sa bouteille peut s'avérer compliqué dans le cas d'Equifax. En fait, c'est à peu près impossible si vos données se trouvent parmi celles qui ont été volées. Mais il y a malgré tout quelques mesures que vous pouvez prendre :
Obtenez un gel de votre crédit auprès de chaque agence d'évaluation du crédit des consommateurs.
Mettez en place des alertes de fraude, si possible élargies.
Vérifiez régulièrement votre rapport de solvabilité.
Gardez un œil sur vos déclarations de revenus.
Solution extrême : Envisagez de modifier votre numéro de sécurité sociale
C'est la toute première mesure que vous devriez prendre pour vous protéger de la fraude financière et pour conserver intacte votre cote de solvabilité. Pour mettre en place un gel de crédit (aussi appelé un gel de sécurité), vous devrez contacter chacune des quatre grandes agences de protection des consommateurs :
La mise en place du gel de crédit devrait être possible en ligne, mais dans certains cas, vous devrez peut-être appeler ou faire une demande par écrit. Chaque agence va vous fournir un code que vous pourrez utiliser pour le « dégel » de votre dossier de solvabilité si vous souhaitez demander de nouvelles marges de crédit.
Un petit honoraire peut vous être demandé pour l'application du gel, mais si vous obtenez la copie d'un rapport de police et un affidavit déclarant que vous êtes potentiellement victime d'une usurpation d'identité (ce qui n'est pas difficile à défendre, étant donné l'envergure de ce piratage), vous pourrez obtenir un gel gratuitement.
Le gel de crédit n'est pas parfait, mais c'est la meilleure chose que vous puissiez faire pour vous protéger
Même s'il vous faut débourser un peu d'argent, croyez-nous : ça en vaut largement la peine. Non seulement cette méthode empêchera un étranger d'ouvrir de nouvelles marges de crédit en votre nom, mais ça empêchera en premier lieu les émetteurs de vérifier votre dossier de solvabilité, ce qui aidera à protéger votre cote de solvabilité.
Bien que les gels se soient révélés loin d'être parfaits, ils restent la meilleure mesure que vous puissiez prendre pour protéger vos comptes.
Quoi qu'il arrive, ne vous laissez pas distraire de votre démarche par des offres pour d'autres services.Un « verrouillage de crédit » n'est pas la même chose qu'un gel de crédit et n'empêchera pas les agences de crédit de vendre votre rapport au premier venu.
Souvenez-vous que c'est grâce à la vente de votre rapport que les agences de crédit font une bonne partie de leur argent, elles ne seront donc pas prêtes à vous rendre la vie facile.Soyez déterminé.
Une alerte de fraude est un niveau supplémentaire de sécurité que vous pouvez appliquer à votre dossier de solvabilité. Avec une alerte de fraude, aucun prêteur ou fournisseur de services ne devrait accorder de crédit sans demander votre accord au préalable. Il vous suffit d'appliquer une alerte de fraude auprès de l'une des agences ci-dessus. Elles sont tenues par la loi de partager cette alerte avec les autres agences.
Les alertes de fraude ne durent que 90 jours, mais vous devriez être en mesure d'en demander une étendue à sept ans si vous fournissez le même type de rapport de police ou d'affidavit utilisés pour un gel de crédit gratuit.
Mais gardez à l'esprit que bien qu'elles devraient vous demander votre accord, les agences ne sont pas légalement obligées de le faire. Une alerte de fraude ne devrait en aucun cas remplacer un gel de crédit.
Nous vous conseillons de vérifier régulièrement votre rapport de solvabilité et de signaler toute activité qui pourrait sembler suspecte. Faites-le tous les trimestres, ça ne peut pas faire de mal. Vous pouvez demander une copie gratuite de votre rapport de solvabilité de la part des agences via le site mandaté par le gouvernement américain : annualcreditreport.com.
Les services de surveillance du crédit n'empêchent pas réellement l'ouverture de nouvelles marges de crédit et ne pourront pas empêcher les fraudeurs de commettre des crimes, mais ils peuvent être utiles plus tard pour la résolution d'une usurpation d'identité et d'une fraude financière. Ils sont également plus chers que les gels de sécurité sur votre rapport de solvabilité.
La surveillance du crédit n'empêche pas réellement la fraude ou l'usurpation d'identité
En réponse au piratage, Equifax offre en ce moment un an de surveillance du crédit gratuite. Les petites lignes de leurs clauses mentionnent qu'en utilisant le service, vous renoncez à vos droits de participer à des recours collectifs à l'avenir, mais une publication de leur part stipule que cette clause ne s'applique pas à l'offre gratuite actuelle.
Il n'y a donc vraiment aucune raison de refuser leur offre, sachant tout de même qu'une fois l'année gratuite arrivée à terme, vous pouvez vous attendre une tentative de vente offensive de quelques années de plus de leur part.
Si vous découvrez que quelqu'un a déclaré vos revenus à votre place, contactez immédiatement votre agence fiscale locale et signalez l'incident. La fraude fiscale est un problème grandissant et le piratage d'Equifax vient d'en simplifier encore la perpétration.
Pensez à faire votre déclaration le plus tôt possible pour prendre l'avantage sur les fraudeurs.
Si votre numéro de sécurité sociale a été divulgué, aucune des mesures énoncées plus haut ne pourra le sécuriser de nouveau. Votre numéro de sécurité sociale peut être utilisé de multiples façons, y compris pour la fraude fiscale. Et si vous pensez qu'avoir affaire à une institution financière est une prise de tête, attendez de voir comment vous vous en sortez avec les impôts.
Bien que cela ne doive pas être pris à la légère, vous pouvez demander un nouveau numéro de sécurité sociale. Le processus n'est pas simple et va demander un tas de documents, mais le gouvernement propose une page Web qui énumère en détail tous les éléments dont vous aurez besoin pour modifier votre numéro de sécurité sociale si vous vivez aux États-Unis.
Bien que l'usurpation d'identité soit une menace réelle, la quantité d'informations divulguées par le piratage d'Equifax est également une véritable aubaine pour les escrocs. Ils peuvent s'en servir pour vous cibler (vous ou vos proches) avec toutes sortes d'arnaques sur mesure.
« Ici Equifax, nous vous appelons pour vérifier vos données de compte. »
Non. Fait établi : Equifax ne vous appelle pas, ni vous, ni personne. Si vous recevez un appel téléphonique soi-disant d'Equifax, ne donnez aucune information personnelle. Raccrochez et appelez vous-même Equifax en utilisant le numéro donné sur leur site Web.
Fait établi : Equifax n'appelle personne. Si vous recevez un appel soi-disant provenant d'Equifax, raccrochez
Ne faites pas confiance au numéro de l'appelant : les arnaqueurs savent comment usurper les numéros d'appelants. Et s'il s'agit d'un serveur vocal, n'appuyez sur aucune touche pour parler à un représentant ou pour faire retirer votre numéro de la liste.
Fondamentalement, si vous n'êtes pas à l'origine de l'appel, ne donnez aucune information.
Vous avez reçu un appel dont vous pensez qu'il est frauduleux ? Signalez-le à la FTC.
Nous avons déjà parlé de la manière de repérer les e-mails factices par le passé : il est temps à présent de devenir paranoïaque. Dans le cas présent, surveillez les adresses dont proviennent les e-mails : Equifax n'envoie des e-mails qu'à partir de @equifax.com, @trustedid.com et @e.equifax.com. 
Les arnaqueurs peuvent créer des adresses presque identiques aux vraies adresses, soyez donc particulièrement attentif aux détails. Par mesure de précaution, ne cliquez simplement sur aucun lien dans les e-mails et ne téléchargez aucune pièce jointe.
Si vous pensez qu'un e-mail peut être légitime, ouvrez votre navigateur et allez directement à la page Web d'Equifax pour vous assurer de tomber directement sur la bonne page.
Vous vous souvenez du site qu'Equifax a créé pour vous permettre de vérifier si vous êtes touché par la faille, celui-là même dont nous vous disions qu'il n'est pas digne de confiance ? Eh bien quelqu'un l'a déjà usurpé. Pire encore, le service clientèle d'Equifax a tweeté le site frauduleux à ses clients.
Oui, c'est vraiment arrivé, et bien que ce site factice se soit révélé ne pas être un site d'hameçonnage, il a bien été créé spécifiquement pour illustrer à quel point le site original n'est pas digne de confiance.
Donc encore une fois, croyez-nous lorsqu'on vous dit de ne cliquer sur aucun lien soi-disant provenant d'Equifax et restez extrêmement vigilant ces jours-ci.
Bien que ce ne soit pas vraiment le moment d'essayer de nouveaux produits, AVG Internet Security aide réellement à bloquer les e-mails d'hameçonnage et vous évitera d'être redirigé vers des sites Web de phishing. Si vous ne vous en servez pas déjà, essayez-le gratuitement.
Confidentialité | Signaler une faille | Contacter la sécurité | Accords de licence | Déclaration sur l’esclavage moderne | Cookies | Déclaration d’accessibilité | Ne pas vendre mes informations personnelles | | Toutes les autres marques commerciales appartiennent à leurs détenteurs respectifs.
