USA : Piratage d’Equifax, 143 millions de personnes concernées

1
121

La société américaine de renseignement de crédit Equifax a annoncé avoir été victime d’un piratage des données personnelles de ses clients courant juillet. Le bilan est lourd : 143 millions de clients ont été ainsi compromis.

La société explique que les pirates ont commencé leur attaque au mois de mai en exploitant une faille de sécurité dans l’un des sites internet de la société. Une injection SQL serait à l’origine du piratage et les cybercriminels ont mis la main sur les données personnelles de clients américains, canadien et britanniques, données constituées des noms, prénoms et adresses en plus des numéros de sécurité sociale et de permis de conduire. Pire encore, pour 209 000 citoyens américains, les pirates informatiques ont pu s’emparer en plus des données de carte bancaire !

Equifax s’est fendu d’un court communiqué indiquant que la société travaille actuellement avec les enquêteurs et les autorités dans cette affaire. Il y a 2 ans, la société Experian North America avait été touchée de la même façon et 15 millions de clients avaient alors été exposés.

Notons qu’un site dédié a été mis en place pour informer les victimes. Reste que le mal est fait !

Ondrej Vlcek, CTO et General Manager, Consumer, chez Avast, a fait le commentaire suivant :

« Le type de vulnérabilité responsable de cette faille de sécurité chez Equifax n’a pas encore été définie. Cependant, il est probable qu’un défaut dans une application web soit responsable de la fuite. Il est difficile à croire qu’une société de crédit qui détient autant de données personnelles, et les revend ensuite, soit ainsi vulnérable en termes de cybersécurité.

Nous supposons que l’attaquant a utilisé une injection SQL (Structured Query Language). Il s’agit d’un langage informatique servant à exploiter des bases de données relationnelles en recherchant, ajoutant, modifiant ou supprimant des informations. Cela consiste donc à injecter, dans la requête SQL en cours, une partie de requête non prévue par le système, ce qui compromet la sécurité. C’est pourquoi les hackers sont constamment à la recherche de ces vulnérabilités.

Les entreprises, surtout celles qui ont accès à tant d’informations sensibles, doivent par conséquent augmenter significativement leurs efforts pour maintenir une protection des données efficace. En effet, dans un cas comme celui-là, les consommateurs ne peuvent rien faire d’autre qu’être vigilants. Et il n’est plus désormais question de savoir “si” mais “quand” ces données volées seront à vendre sur le Dark Web.

Il existe quelques initiatives que les victimes peuvent mettre en œuvre afin de s’assurer de leur protection :

  • Surveiller de près leurs e-mails, leurs réseaux sociaux ainsi que leurs comptes bancaires afin de remarquer rapidement toute activité suspecte ;
  • Envisager le gel du crédit afin que les pirates ne puissent plus usurper leur identité et donc accroitre les dettes ;
  • Ne pas répondre directement aux e-mails, ou autres messages, mentionnant qu’ils sont des victimes de l’attaque. Il peut en effet s’agir d’escroquerie. Il est conseillé d’ouvrir plutôt un nouvel onglet sur le navigateur afin de se connecter directement sur le site en question, ou d’appeler le service client. »

Les commentaires sont fermés.