La fuite de données d’Equifax et la protection de vos données en ligne

Equifax Breach

Nous l’avons tous lu dans les médias, la fuite de données d’Equifax a divulgué les rapports de crédit de plus de 140 millions d’américains. Que contiennent ces rapports ? Ils contiennent l’historique de crédit de particuliers ainsi que leur numéro de sécurité sociale. Autant vous dire que ça fait mal.

La fuite a également mis sur le devant de la scène les trois grandes agences nationales d’évaluation du crédit (Experian et TransUnion sont les deux autres). Les organismes prêteurs font appel à ces agences pour appuyer leurs décisions d’attribution de crédits auto, immobiliers, travaux et bien entendu, de nouvelles cartes de crédit.

Les agences nationales d’évaluation du crédit sont censées protéger les individus du vol d’identité

Imaginons que les auteurs du piratage d’Equifax passent à la phase 2 de leur plan et vendent les informations à caractère personnel à des cyber malfaiteurs ou à d’autres personnes malintentionnées qui s’empresseront d’ouvrir de faux comptes. Bien évidemment, l’opération est très simple puisqu’ils possèdent les numéros de sécurité sociale.

La banque ou un autre prêteur contrôlera normalement l’identité et la solvabilité de la personne en contactant les agences nationales d’évaluation du crédit, lesquelles sont supposées les aider à détecter les vols d’identité, conformément aux règles de signalement « Red Flag ». Bien souvent (mais pas toujours), les pirates utilisent une adresse différente de celle de la victime lorsqu’ils déposent une demande de crédit et cette anomalie doit en principe être détectée par les agences nationales d’évaluation qui possèdent les véritables adresses.

Le rapport de crédit doit alors normalement faire l’objet d’un signalement afin que les éventuels futurs prêteurs soient eux aussi mis en alerte, et la société de financement à l’origine de la demande d’évaluation est également avertie du vol d’identité potentiel.

Je ne suis pas le premier à relever toute l’ironie de la fuite de données subie par Equifax. Nous confions nos données financières les plus personnelles aux agences nationales d’évaluation du crédit et ce sont elles qui sont supposées protéger les consommateurs du vol d’identité.

Malheureusement, le piratage dont elles sont victimes n’est pas un phénomène nouveau et les trois principales agences sont déjà visées par des recours collectifs de la part de victimes faisant jouer le Fair Credit Reporting Act (FCRA). Sans surprise, Equifax fait déjà l’objet de poursuites en justice suite à la fuite de données, leur nombre venant d’être porté à 23.

Ce que devraient faire les consommateurs

Même s’il est à espérer que les comptes affectés ont déjà été signalés, mieux vaut prendre vous-même le taureau par les cornes. La FTC, l’agence en charge de l’application du FCRA, conseille de prendre plusieurs mesures.

A minima, consultez le lien fourni par Equifax pour voir si votre numéro de sécurité sociale a été piraté. Si c’est le cas, vous pouvez bénéficier d’un suivi de crédit gratuit pendant un an (en gros, vous saurez si quelqu’un dépose une demande de crédit en votre nom).

(Je viens juste de le faire moi-même, et je découvre que mon numéro a peut-être été piraté. Je suis allé au bout de la procédure et ai demandé un suivi de crédit.)

Si vous êtes vraiment parano, vous pouvez aller plus loin et appliquer un gel de crédit à votre rapport de crédit. Cette opération a pour effet de restreindre l’accès au rapport de crédit détenu par les agences nationales d’évaluation du crédit et donc, en théorie, d’empêcher les organismes de prêt de créer de nouveaux comptes. Normalement, l’opération est payante mais, grand seigneur, Experian a décidé de geler gratuitement les rapports après que des consommateurs indignés aient protesté.

Aucune de ces méthodes n’est infaillible et des pirates ou voleurs un tant soit peu malins peuvent contourner ces protections.

Outre les numéros de sécurité sociale, les hackers se sont emparés d’un grand nombre de données à caractère personnel : noms, adresses, et probablement noms des banques et sociétés de carte de crédit. À ce que je sais, Equifax ne s’est pas fait voler les mots de passe.

De toute évidence, les numéros de sécurité sociale sont les données qui peuvent rapporter le plus d’argent mais d’autres informations personnelles peuvent s’avérer utiles pour les pirates, en particulier pour mener des attaques de phishing. Les lecteurs de ce blog connaissent notre position sur le sujet : toute information en ligne obtenue par les hackers pourra être et sera utilisée contre vous !

Par conséquent, nous devons tous nous méfier des mails de phishing qui ont l’air de provenir de nos banques ou autres sociétés de financement, et nous devons rester vigilants face aux risques d’escroquerie.

C’est là que l’aide de Troy Hunt, l’incontournable expert en sécurité, peut s’avérer utile ! Sa vidéo de cours Internet Security Basics figure dans nos favoris car elle décompose la sécurité en ligne en plusieurs leçons simples que des personnes sans compétences techniques peuvent comprendre rapidement et appliquer.

Voici ici la première leçon :

J’attire votre attention sur la Leçon 3 « How to know when to trust a website » (Comment savoir quand faire confiance à un site Web), particulièrement utile pour mieux vous protéger de la prochaine vague d’arnaques en ligne.

En passant, profitez-en pour passer en revue vos mots de passe en ligne et les modifier, et pour apprendre comment choisir un mot de passe efficace. La Leçon 2 de Troy intitulée « How to Choose a Good Password » (Comment choisir un mot de passe efficace), vous dira tout sur les phrases secrètes et les gestionnaires de mots de passe.

Le piratage d’Equifax a fait suffisamment de dégâts comme cela, n’aggravons pas la situation en nous faisant aussi avoir par des e-mails de phishing idiots.

Découvrez comment vous protéger en ligne en regardant la vidéo de cours en cinq parties de Troy Hunt, le pro de la sécurité.

Andy blogs about data privacy and security regulations. He also closely follows new malware threats and what it means for IT security.