Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus
Blog Confidentialité & Conformité

La fuite de données d’Equifax et la protection de vos données en ligne

Nous l’avons tous lu dans les médias, la fuite de données d’Equifax a divulgué les rapports de crédit de plus de 140 millions d’américains. Que contiennent ces rapports ? Ils contiennent...
Michael Buckbee
3 minute de lecture
Dernière mise à jour 11 août 2022

Contenu

    Nous l’avons tous lu dans les médias, la fuite de données d’Equifax a divulgué les rapports de crédit de plus de 140 millions d’américains. Que contiennent ces rapports ? Ils contiennent l’historique de crédit de particuliers ainsi que leur numéro de sécurité sociale. Autant vous dire que ça fait mal.

    La fuite a également mis sur le devant de la scène les trois grandes agences nationales d’évaluation du crédit (Experian et TransUnion sont les deux autres). Les organismes prêteurs font appel à ces agences pour appuyer leurs décisions d’attribution de crédits auto, immobiliers, travaux et bien entendu, de nouvelles cartes de crédit.

    Les agences nationales d’évaluation du crédit sont censées protéger les individus du vol d’identité

    Imaginons que les auteurs du piratage d’Equifax passent à la phase 2 de leur plan et vendent les informations à caractère personnel à des cyber malfaiteurs ou à d’autres personnes malintentionnées qui s’empresseront d’ouvrir de faux comptes. Bien évidemment, l’opération est très simple puisqu’ils possèdent les numéros de sécurité sociale.

    La banque ou un autre prêteur contrôlera normalement l’identité et la solvabilité de la personne en contactant les agences nationales d’évaluation du crédit, lesquelles sont supposées les aider à détecter les vols d’identité, conformément aux règles de signalement « Red Flag ». Bien souvent (mais pas toujours), les pirates utilisent une adresse différente de celle de la victime lorsqu’ils déposent une demande de crédit et cette anomalie doit en principe être détectée par les agences nationales d’évaluation qui possèdent les véritables adresses.

    Le rapport de crédit doit alors normalement faire l’objet d’un signalement afin que les éventuels futurs prêteurs soient eux aussi mis en alerte, et la société de financement à l’origine de la demande d’évaluation est également avertie du vol d’identité potentiel.

    Je ne suis pas le premier à relever toute l’ironie de la fuite de données subie par Equifax. Nous confions nos données financières les plus personnelles aux agences nationales d’évaluation du crédit et ce sont elles qui sont supposées protéger les consommateurs du vol d’identité.

    Malheureusement, le piratage dont elles sont victimes n’est pas un phénomène nouveau et les trois principales agences sont déjà visées par des recours collectifs de la part de victimes faisant jouer le Fair Credit Reporting Act (FCRA). Sans surprise, Equifax fait déjà l’objet de poursuites en justice suite à la fuite de données, leur nombre venant d’être porté à 23.

    Ce que devraient faire les consommateurs

    Même s’il est à espérer que les comptes affectés ont déjà été signalés, mieux vaut prendre vous-même le taureau par les cornes. La FTC, l’agence en charge de l’application du FCRA, conseille de prendre plusieurs mesures.

    A minima, consultez le lien fourni par Equifax pour voir si votre numéro de sécurité sociale a été piraté. Si c’est le cas, vous pouvez bénéficier d’un suivi de crédit gratuit pendant un an (en gros, vous saurez si quelqu’un dépose une demande de crédit en votre nom).

    (Je viens juste de le faire moi-même, et je découvre que mon numéro a peut-être été piraté. Je suis allé au bout de la procédure et ai demandé un suivi de crédit.)

    Si vous êtes vraiment parano, vous pouvez aller plus loin et appliquer un gel de crédit à votre rapport de crédit. Cette opération a pour effet de restreindre l’accès au rapport de crédit détenu par les agences nationales d’évaluation du crédit et donc, en théorie, d’empêcher les organismes de prêt de créer de nouveaux comptes. Normalement, l’opération est payante mais, grand seigneur, Experian a décidé de geler gratuitement les rapports après que des consommateurs indignés aient protesté.

    Aucune de ces méthodes n’est infaillible et des pirates ou voleurs un tant soit peu malins peuvent contourner ces protections.

    Outre les numéros de sécurité sociale, les hackers se sont emparés d’un grand nombre de données à caractère personnel : noms, adresses, et probablement noms des banques et sociétés de carte de crédit. À ce que je sais, Equifax ne s’est pas fait voler les mots de passe.

    De toute évidence, les numéros de sécurité sociale sont les données qui peuvent rapporter le plus d’argent mais d’autres informations personnelles peuvent s’avérer utiles pour les pirates, en particulier pour mener des attaques de phishing. Les lecteurs de ce blog connaissent notre position sur le sujet : toute information en ligne obtenue par les hackers pourra être et sera utilisée contre vous !

    Par conséquent, nous devons tous nous méfier des mails de phishing qui ont l’air de provenir de nos banques ou autres sociétés de financement, et nous devons rester vigilants face aux risques d’escroquerie.

    C’est là que l’aide de Troy Hunt, l’incontournable expert en sécurité, peut s’avérer utile ! Sa vidéo de cours Internet Security Basics figure dans nos favoris car elle décompose la sécurité en ligne en plusieurs leçons simples que des personnes sans compétences techniques peuvent comprendre rapidement et appliquer.

    Voici ici la première leçon :

     

     

    J’attire votre attention sur la Leçon 3 « How to know when to trust a website » (Comment savoir quand faire confiance à un site Web), particulièrement utile pour mieux vous protéger de la prochaine vague d’arnaques en ligne.

    En passant, profitez-en pour passer en revue vos mots de passe en ligne et les modifier, et pour apprendre comment choisir un mot de passe efficace. La Leçon 2 de Troy intitulée « How to Choose a Good Password » (Comment choisir un mot de passe efficace), vous dira tout sur les phrases secrètes et les gestionnaires de mots de passe.

    Le piratage d’Equifax a fait suffisamment de dégâts comme cela, n’aggravons pas la situation en nous faisant aussi avoir par des e-mails de phishing idiots.

    Découvrez comment vous protéger en ligne en regardant la vidéo de cours en cinq parties de Troy Hunt, le pro de la sécurité.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Michael Buckbee
    Michael Buckbee

    Michael a travaillé en tant qu'administrateur système et développeur de logiciels pour des start-ups de la Silicon Valley, la marine américaine, et tout ce qui se trouve entre les deux.

    Testez Varonis gratuitement.
    Un résumé détaillé des risques liés à la sécurité de vos données.
    Stratégie claire vers une remédiation automatisée.
    Déploiement rapide.
    Commencez votre évaluation gratuite Afficher un exemple
    Keep reading
    conformité-à-la-loi-sur-la-confidentialité-de-l’illinois -tout-ce-que-vous-devez-savoir
    Conformité à la loi sur la confidentialité de l’Illinois  tout ce que vous devez savoir
    conformité-à-la-loi-sur-la-confidentialité-de-l’illinois -tout-ce-que-vous-devez-savoir
    David Harrington
    9 février 2023
    The Illinois Personal Information Protection Act (PIPA) is designed to safeguard the personal data of Illinois residents. Learn what PIPA is, who it affects, and how to maintain compliance.
    en-quoi-consiste-la-gouvernance-des-données ?-cadre-et-bonnes-pratiques
    En quoi consiste la gouvernance des données ? Cadre et bonnes pratiques
    en-quoi-consiste-la-gouvernance-des-données ?-cadre-et-bonnes-pratiques
    David Harrington
    22 juillet 2022
    La gouvernance des données facilite l’organisation, la sécurisation et la normalisation des données de tous types d’organisations. Pour en savoir plus sur les cadres de gouvernance des données, cliquez ici.
    qu’est-ce-que-le-cadre-de-cybersécurité-nist ?
    Qu’est-ce que le cadre de cybersécurité NIST ?
    qu’est-ce-que-le-cadre-de-cybersécurité-nist ?
    Josue Ledesma
    13 juin 2022
    Découvrez comment mettre en œuvre le cadre de cybersécurité NIST dans votre entreprise.
    en-quoi-consiste-la-conformité-à-la-dsp2-et-qu’implique-t-elle-pour-votre-entreprise-?
    En quoi consiste la conformité à la DSP2 et qu’implique-t-elle pour votre entreprise ?
    en-quoi-consiste-la-conformité-à-la-dsp2-et-qu’implique-t-elle-pour-votre-entreprise-?
    David Harrington
    5 août 2021
    La directive DSP2 de l’UE encourage l’innovation financière tout en imposant de meilleurs dispositifs de protection des consommateurs. Découvrez en quoi consiste la conformité à la DSP2 et ce qu’elle implique pour votre entreprise.