Equifax Inc. (EFX) a annoncé le 7 septembre 2017 que 143 millions de ses clients avaient été touchés par un piratage survenu entre la mi-mai et juillet. Ce chiffre a été porté à 145, 5 millions au cours des semaines suivantes, puis à 147, 9 millions le 1er mars 2018, lorsque la société a déclaré avoir identifié 2, 4 millions de victimes supplémentaires.
Après la fermeture des marchés le même jour, la société a publié ses résultats financiers du quatrième trimestre et de l'exercice. Les revenus de la société au quatrième trimestre ont augmenté de 5% en glissement annuel pour atteindre 838, 5 millions de dollars. Le bénéfice net du trimestre a augmenté de 40% en glissement annuel pour atteindre 172, 3 millions de dollars. Les revenus et les bénéfices en année pleine ont également augmenté par rapport à 2016: les revenus ont augmenté de 7% pour s'établir à 3, 4 milliards de dollars, tandis que le bénéfice net a augmenté de 20% pour atteindre 587, 3 millions de dollars. La société a déclaré que le piratage lui avait coûté 26, 5 millions de dollars au quatrième trimestre et 114, 0 millions de dollars pour l'année entière, déduction faite des versements d'assurance. Le titre, qui a clôturé en baisse de 1, 3% en ligne avec le S&P 500, est en hausse de 0, 6% dans le trading après les heures de bureau au moment de la rédaction du présent document.
Selon Equifax, jusqu'à 209 000 numéros de cartes de crédit de clients ont été dévoilés, et les documents de litige concernant 182 000 consommateurs américains - qui incluent des informations personnelles - ont été compromis. Les consommateurs britanniques ont également été touchés par la violation; il est possible que certains Canadiens aient été compromis. Selon le Wall Street Journal, citant une source anonyme, 10, 9 millions de données de permis de conduire américains ont été volées dans la brèche.
La société était au courant de l'attaque depuis le 29 juillet, mais a attendu plus d'un mois pour alerter le public. Le 20 septembre, il a été signalé que Mandiant, la filiale FireEye Inc. (FEYE) engagée par Equifax, estime que la violation remonte au moins au 10 mars.
Il y a peu d'informations concernant la source de l'attaque, qui fait l'objet d'une enquête par le FBI, mais selon Bloomberg, les similitudes avec les attaques antérieures contre le Bureau de la gestion du personnel et Anthem Inc. suggèrent que l'attaquant pourrait être parrainé par l'État, peut-être chinois. Le fait que les informations des clients d'Equifax n'apparaissent pas sur le marché noir suggère également que les pirates n'étaient pas simplement des criminels. Bloomberg rapporte également que les attaquants ont ciblé des individus spécifiques, peut-être en raison de leur richesse ou de leur valeur en matière de renseignement.
Étant donné que la population adulte des États-Unis est d'environ 250 millions, les chances sont bonnes que vous ayez été affecté par la violation. Il est également possible que vous ayez déjà été victime de fraude, puisque l'attaque a commencé il y a près de six mois.
Equifax, basée à Atlanta, l'une des trois grandes agences d'évaluation du crédit à la consommation - les deux autres sont Experian PLC (Londres: EXPN) et TransUnion (TRU) - collecte des données, y compris les numéros de sécurité sociale, les numéros de carte de crédit, les numéros de permis de conduire, le loyer et les services publics informations de paiement et données démographiques. Étant donné que le modèle d'Equifax est principalement interentreprises, bon nombre de ses clients ne savent pas que leurs données sont stockées par l'entreprise. En plus d'éviter complètement le système financier et de crédit, il n'y a pas de moyen simple de refuser que les données personnelles soient stockées par Equifax. (Voir aussi, 5 plus gros hacks de données de cartes de crédit de l'histoire. )
Comment vérifier si vous avez été affecté
Equifax a mis en place un site où vous pouvez vérifier si vos informations ont été compromises en donnant votre nom de famille et les six derniers chiffres de votre numéro de sécurité sociale. Ce site a fait l'objet de critiques intenses, et nous avons supprimé le lien en raison de questions concernant sa sécurité. Il a été mis en place à l'aide de WordPress, une plate-forme de blogs standard. Il est hébergé dans un domaine distinct du site principal d'Equifax. La société a négligé d'enregistrer des URL similaires, qui pourraient être utilisées pour des attaques de phishing; un pirate de chapeau blanc a créé un tel site pour prouver un point, et un compte officiel d'Equifax a tweeté le lien vers le faux site. Plus d'une fois.
Equifax a offert aux clients - concernés ou non - les services suivants, qu'elle appelle TrustedID Premier: des copies d'un rapport de crédit Equifax, une surveillance du crédit et des alertes automatisées pour les trois principaux bureaux de crédit, la possibilité de bloquer l'accès de tiers à votre rapport de crédit Equifax (à quelques exceptions près), surveillance du numéro de sécurité sociale et assurance contre le vol d'identité d'un million de dollars. La date limite pour postuler était le 21 novembre 2017.
La société affirme que ces services sont tous gratuits, mais placer un gel de la sécurité sur un dossier de crédit n'était pas initialement gratuit - du moins pas pour tout le monde. Lorsque j'ai essayé de figer un dossier de crédit Equifax le 8 septembre, le site de la société a déclaré que le service coûterait 3, 00 $ et a demandé des informations de carte de crédit pour traiter le paiement.
En tant que résident de New York, j'ai pu bloquer gratuitement mon fichier Experian. Le site de TransUnion n'a pas été en mesure de traiter la demande initialement - probablement un symptôme de l'augmentation du trafic - mais m'a par la suite permis de geler gratuitement.
Dans un communiqué envoyé par courrier électronique, un porte-parole d'Equifax a déclaré à Investopedia le 14 septembre que la société renonçait à tous les frais de gel des fichiers de crédit et remboursait automatiquement les clients qui avaient payé pour le faire après le piratage. Une nouvelle préoccupation - et une lacune évidente en matière de sécurité - est maintenant apparue autour des codes PIN que la société a délivrés aux clients qui avaient gelé leurs rapports de crédit. Ces codes PIN, qui permettent aux clients de débloquer des rapports de crédit, suivent un modèle facilement identifiable. Le porte-parole a déclaré que les clients avec ces codes PIN défectueux doivent appeler le 866-349-5191 pour parler à un agent en direct.
Les listes Equifax des services TrustedID Premier comme complémentaires ne sont gratuites que pendant un an. Un porte-parole d'Equifax a déclaré à Investopedia que l'entreprise ne demandait pas d'informations sur sa carte de crédit lorsque les clients s'inscrivaient au service et que l'entreprise ne le renouvellerait pas automatiquement et ne facturerait pas de frais. Le taux standard d'Equifax pour la surveillance du crédit est de 17 $ par mois.
Que faire si vous avez été touché
Liz Weston, rédactrice en finances personnelles chez NerdWallet, a les conseils suivants à l'intention des personnes touchées par la violation d'Equifax, qu'elle a partagées avec Investopedia dans un e-mail: "Equifax contactera les victimes et leur offrira une surveillance du crédit. Les victimes devraient s'assurer que l'acceptation de la surveillance ne les empêche pas de se joindre à des poursuites ou à d'autres actions en cours de route."
Initialement, la page des conditions de service de TrustedID Premier (version archivée) obligeait en fait les utilisateurs à renoncer à leur droit de se joindre à un recours collectif contre Equifax: "En consentant à soumettre vos réclamations à l'arbitrage, vous perdrez votre droit d'apporter ou de participer dans tout recours collectif (que ce soit en tant que demandeur nommé ou membre du groupe) ou pour partager des recours collectifs, y compris des recours collectifs lorsqu'un groupe n'a pas encore été certifié, même si les faits et les circonstances sur lesquels les réclamations sont fondées se sont déjà produits ou existait. " Suite à un contrecoup, la page FAQ de l'entreprise a été mise à jour pour indiquer que la clause s'appliquait au service TrustedID Premier, pas au hack. Au matin du 12 septembre, les conditions de service ne comportent plus de clause compromissoire.
Weston dit que les clients concernés devraient envisager de geler leurs rapports de crédit dans les trois principaux bureaux. Comme mentionné ci-dessus, les bureaux de crédit peuvent facturer des frais pour initier ce gel. Vous pouvez également être facturé pour le déblocage de comptes lorsque vous avez besoin d'une vérification de crédit (pour demander un service de téléphone portable, par exemple). Ces frais sont généralement inférieurs à 10 $, mais ils peuvent s'additionner. Weston note qu'une autre option consiste à placer une alerte de fraude sur vos rapports de crédit dans les trois bureaux de crédit. (Pour plus d'informations, voir Comment récupérer après un vol d'identité .)
D'autres services de surveillance du crédit, non parrainés par Equifax, sont également disponibles. Services de protection contre le vol d'identité: ça vaut le coup? répertorie plusieurs d'entre eux pour que vous puissiez enquêter.
Réponse d'Equifax
Le président et chef de la direction d'Equifax à l'époque, Richard Smith, a déclaré après le piratage qu'il s'agissait "clairement d'un incident décevant pour notre entreprise, et qui frappe au cœur de qui nous sommes et de ce que nous faisons". Il a démissionné le 26 septembre et ne recevra pas de bonus pour 2017. Son départ a suivi ceux du chef de la sécurité Susan Mauldin et du chef de l'information David Webb le 14 septembre.
Quelques jours après que la société a découvert le piratage en interne - et avant que la violation ne soit révélée au public - le directeur financier d'Equifax, John Gamble, son président des solutions de main-d'œuvre, Rodolfo Ploder, et son président des solutions d'information américaines, Joseph Loughran, ont vendu leurs actions d'Equifax. Equifax a déclaré dans un communiqué que les dirigeants n'étaient pas au courant de la violation lorsqu'ils ont vendu leurs actions. Gamble, Ploder et Loughran ont collectivement tiré près de 1, 8 million de dollars des ventes.
Au 28 février, le titre d'Equifax avait chuté de 20, 1% depuis sa clôture le 7 septembre (avant l'annonce du hack) à 113, 00 $. Après plusieurs retards, Equifax annonce qu'elle publiera ses résultats du quatrième trimestre après la clôture du 1er mars.
Que les poursuites commencent
Reuters a rapporté le 11 septembre que plus de 30 actions en justice - dont beaucoup demandaient un recours collectif - avaient été déposées contre Equifax devant les tribunaux américains. Plusieurs d'entre eux allèguent des violations du droit des valeurs mobilières; d'autres accusent TrustedID de proposer des services coûteux aux clients touchés par la violation de données. Cinq résidents de l'Utah ont poursuivi la société devant le tribunal de district américain pour non-protection des données sensibles des clients. La poursuite demande des dommages-intérêts pécuniaires de 5 milliards de dollars et l'imposition de normes industrielles plus strictes.
Quelques clients touchés empruntent une voie moins traditionnelle pour demander un recours à Equifax. Le chatbot DoNotPay fournit une assistance pour déposer une plainte auprès des tribunaux des petites créances de l'État, où les sanctions maximales varient de 2 500 $ à 25 000 $. Selon le Verge, le bot ne peut générer que des documents pour un procès, pas réellement le déposer ou comparaître devant le tribunal.
Le FBI et le procureur américain basé à Atlanta, John Horn, ont annoncé une enquête criminelle le 18 septembre. Le Consumer Financial Protection Bureau et 34 procureurs généraux des États mènent des enquêtes.
M. Smith se rend à Washington
Le 3 octobre, l'ancien PDG Richard Smith a témoigné devant le sous-comité du commerce numérique et de la protection des consommateurs de la Chambre. Il s'est excusé à plusieurs reprises pour l'échec d'Equifax à protéger les données des consommateurs et a été confronté à des questions sur un éventail de problèmes liés à la violation et à la réponse d'Equifax. Les actions de la société ont augmenté après le témoignage, mais sont restées bien en deçà des niveaux auxquels elle a été négociée avant la divulgation du hack.
En réponse aux questions concernant la clause d'arbitrage controversée qui était initialement incluse dans les conditions de service de TrustedID Premier, Smith a déclaré que la clause "passe-partout" n'avait jamais été destinée à s'appliquer à la violation et a qualifié son inclusion d '"erreur". Il ne dirait pas la même chose des clauses similaires régissant les autres services d'Equifax, qu'il a qualifiées de «standard».
Les ventes de titres exécutifs au calendrier suspect ont également été examinées de près: le représentant Jan Schakowsky, un démocrate de l'Illinois, a déclaré que la vente "ne passait pas le test de l'odorat", mais Smith a avoué, "à ma connaissance, ils ne savaient pas" à propos de la violation à l'époque.
Smith a décrit la violation comme le résultat d'une erreur humaine et d'un échec technologique: la personne chargée de s'assurer de corriger le logiciel Apache Struts - qui avait une vulnérabilité connue du public que les attaquants exploitaient - n'a pas réussi à le faire, et un scanner qui aurait alerté la société de cette erreur a également échoué.
La réponse virulente de l'entreprise à la crise a également suscité des critiques: créer un site WordPress avec une URL suspecte, ne pas sécuriser des domaines similaires (et même diriger les clients vers l'un de ces domaines), ne pas doter correctement les centres d'appels et créer généralement l'impression que l'entreprise - qui existe pour collecter, sécuriser et vendre des données sensibles - n'était absolument pas préparée à une cyberattaque sur ses bases de données. Le représentant Markwayne Mullin, un républicain de l'Oklahoma, a déclaré à Smith que sa réponse aurait dû être comme déclencher une alarme incendie: "il se met immédiatement en place". Smith a répondu que son équipe "avait suivi le protocole". Plusieurs représentants ont mentionné que Smith avait prononcé un discours décrivant la fraude comme une "énorme opportunité" et une "entreprise massive et en croissance" en août - après avoir pris connaissance de la violation.
Smith a refusé de répondre aux questions sur la source de l'attaque, y compris s'il s'agissait d'un acteur d'État. Il a simplement dit que le FBI menait une enquête. Il a défendu les investissements d'Equifax dans la cybersécurité pendant son mandat, affirmant qu'à son arrivée il y a douze ans, il n'y avait pratiquement aucun investissement dans la protection des données. La société a dépensé un quart de milliard de dollars et embauché une équipe de 225 personnes pour sécuriser les données de l'entreprise, a déclaré Smith, investissant les 10 à 14% du budget informatique de l'entreprise dans la cybersécurité.
Certains représentants ont indiqué que la violation avait ouvert des questions fondamentales sur le rôle du secteur de la surveillance du crédit et les droits des consommateurs. "Et si je veux opter pour Equifax?" Demanda Schakowski. Smith a répondu, "cela nécessite une discussion beaucoup plus large sur le rôle des agences d'évaluation du crédit." Le député Tonko, un démocrate de New York, a fait écho à ce sentiment, soulignant qu'il n'était pas vraiment un "client", n'ayant jamais choisi de faire affaire avec Equifax. "Pourquoi cette entreprise est-elle autorisée à continuer d'exister?" Il a demandé. À divers moments, Smith a remis en question la valeur des numéros de sécurité sociale comme moyen de prouver l'identité et a fait de vagues références à redonner «le pouvoir au consommateur».
La plus grande question du jour est venue de la démocrate de Californie Doris Matsui: "Est-ce que je possède mes données?" Smith n'a pas pu répondre. (Voir aussi, Blockchain pourrait vous faire - pas Equifax - le propriétaire de vos données. )
