Par un après-midi tranquille de début septembre 2017, Equifax a révélé une faille de sécurité majeure ayant touché près de 200 millions de personnes dans le monde. L'entreprise avait détecté la brèche dès juillet, ce qui lui laissait du temps pour préparer une réponse. Malheureusement, sa gestion en a fait un cas d'école de ce qu'il ne faut pas faire face à une telle crise.
De l'ampleur de la fuite aux jargons juridiques confus et aux sites de réponse mal sécurisés, Equifax a multiplié les erreurs. Ajoutez-y des soupçons de délit d'initié, une communication défaillante, une chute de 30 % de sa valeur boursière et de nouvelles fuites : la société s'est distinguée par son amateurisme. Surtout pour une agence de notation de crédit qui détient vos données sensibles sans consentement explicite.
La première annonce d'Equifax indiquait que jusqu'à 144 millions d'Américains étaient potentiellement affectés, avec noms, adresses, numéros de sécurité sociale (SSN), dates de naissance et historiques financiers compromis. Environ 209 000 numéros de cartes de crédit et 189 000 dossiers de litiges ont également fuité.
Les médias ont initialement parlé de "clients" d'Equifax, mais ces agences (Equifax, Experian, TransUnion) collectent des données auprès de prêteurs et assureurs pour calculer vos scores de crédit, sans que vous soyez client.
Pour indemniser les victimes – près de la moitié des adultes américains –, Equifax a lancé equifaxsecurity2017.com. Les utilisateurs pouvaient vérifier leur exposition via nom et SSN partiel, et s'inscrire gratuitement un an à TrustedID Premier (rapports de crédit tri-bureaux et surveillance SSN).
Equifax est resté silencieux sur les détails initiaux : type d'attaque, coupable, durée. Sous pression publique et sénatoriale, il a admis une exploitation d'Apache Struts (CVE-2017-5638), patchée en mars 2017. Comme pour WannaCry, l'absence de mises à jour a eu des conséquences dévastatrices.
Equifax a dû reconnaître l'impact sur un "nombre limité" de Britanniques et Canadiens. Jusqu'à 44 millions de Britanniques étaient concernés via des partenaires comme BT ou British Gas ; 400 000 confirmés plus tard. Aucune guidance claire n'a été fournie hors États-Unis.
Le site dédié, mal choisi (equifaxsecurity2017.com), a été submergé par le trafic, bloqué par OpenDNS (suspicion de phishing) et requérait les 6 derniers chiffres du SSN – précisément les données compromises !
Les résultats variaient pour les mêmes saisies ; des faux profils étaient confirmés affectés. L'inscription poussait vers TrustedID Premier, service maison jugé opportuniste. Les PIN de gel de crédit étaient prévisibles (horodatage) ; Equifax a corrigé vers des PIN aléatoires et postaux.
Les conditions initiales semblaient interdire les recours collectifs ; révisées sous pression, puis supprimées pour les produits gratuits et claims liés à la brèche.
Deux jours après détection, trois cadres ont vendu pour 1,8 M$ d'actions – un mois avant annonce publique, avant une chute de 30 %. Soupçons de délit d'initié. 23 plaintes en 14 États ; une demande 7 Md$ (500 $/victime). DoNotPay aide pour small claims, mais ne gère pas les audiences.
En Argentine, le portail Veraz utilisait admin/admin : accès à mots de passe employés (identiques aux logins) et 14 000 DNI en clair. Site mis hors ligne après alerte KrebsOnSecurity.
Vérifiez sur equifaxsecurity2017.com (résultats incohérents : assumez exposition). Inscrivez-vous à TrustedID Premier pour gel de crédit. Vigilance anti-phishing. Améliorez mots de passe, 2FA, HaveIBeenPwned, cyber-hygiène.
Cette brèche, marquante de 2017, met en lumière failles en sécurité et notations de crédit. Réactions politiques et départs (CSO, CISO) espérés salvateurs. Attaquants inconnus ; groupes revendiquent sans preuve. Restez vigilant.
Avez-vous été touché par la brèche Equifax ? Equifax est-il responsable ? Dites-le nous en commentaires !
Crédit image : stevanovicigor/Depositphotos
