Les escrocs qui se sont introduits dans les serveurs de la compagnie Equifax, une agence de rapports de crédits, et mis la main sur les données personnelles de quelque 143 millions d’Américains et de 44 millions de Britanniques ont commis l’un des pires vols informatiques de tous les temps. Selon les informations publiées par la compagnie le 8 septembre, l’attaque, qui aurait exploité une vulnérabilité du logiciel Apache Struts, a commencé vers la mi-mai et n’a été découverte que le 29 juillet. La moisson des hackers comprend les noms et prénoms, numéro de sécurité sociale, date de naissance, adresse et dans certains cas le numéro de permis de conduire des utilisateurs d’Equifax, excusez du peu. Accessoirement, les hackers se sont aussi emparés des numéros de cartes de crédit de quelques 209 000 consommateurs et des dossiers de litiges contenant des informations d’identité pour 182 000 autres. Avec de telles données, réputées exactes et à jour, ceux qui s’en sont emparés et tous ceux à qui ils peuvent les vendre ont de quoi s’occuper des années pour prendre le contrôle de comptes bancaires, d’assurance ou autres et en gruger les détenteurs. L’ampleur des données leur permet littéralement d’industrialiser cette besogne. Il s’agit d’une catastrophe informatique de nature « sismique ».
Equifax n’est pourtant pas le premier venu. L’agence a été créée en 1899 sous le nom Retail Credit Company, à Atlanta, où elle a toujours son siège. Après avoir renseigné pendant de longues années les assureurs sur l’historique de preneurs d’assurance, Equifax s’est spécialisée dans les rapports de crédit, devenant l’un des leaders du secteur. Cotée à la bourse de New York, elle a, avec 9 500 employés, eu l’an dernier un chiffre d’affaires de plus de trois milliards de dollars et un profit de près de 500 millions de dollars. Comment une telle entreprise peut‑elle laisser filer son patrimoine le plus précieux ? L’action d’Equifax a chuté de treize pour cent le jour où l’attaque a été annoncée, une réaction mesurée puisque les dommages et intérêts auxquels la firme s’est exposée la menacent de faillite. 23 plaintes de types class-action ont été enregistrées à l’encontre d’Equifax à ce jour. Le service Chatbot a mis en place un dispositif qui permet de s’associer d’un seul clic à une action en justice portant sur 25 000 dollars.
Certains responsables et employés d’Equifax ont déjà passé un très mauvais quart d’heure, ou doivent s’y préparer. À commencer par les trois managers d’Equifax qui ont cru bon de vendre pour 1,8 million de dollars d’actions de la firme après avoir appris l’existence de l’attaque, mais avant d’en avertir le public. On peut aussi s’inquiéter, si on le souhaite, pour sa responsable de la sécurité des données, dont le CV sur LinkedIn précisait, avant d’être précipitamment effacé, qu’elle a fait des études de composition musicale à l’université de Géorgie et les a conclues par un magna et un summa cum laude. Le site de crise mis en ligne par Equifax pour accueillir ses clients alarmés a aussi fait grincer des dents. Techniquement défaillant au point d’être momentanément suspecté d’être un site de phishing et suspendu, il fournissait apparemment aux clients qui s’en servaient pour vérifier s’ils étaient affectés par l’attaque des réponses choisies au hasard. Enfin, la plus grande confusion régnait après l’annonce de l’attaque quant au statut d’une clause des conditions d’utilisation d’Equifax par laquelle ses clients s’engageaient par avance à être liés par d’éventuelles procédures d’arbitrage et à renoncer à des actions en justice collectives.
Le signe le plus sûr que cette Bérésina des données personnelles n’a rien à voir avec la fatalité vient du front du lobbying. Selon plusieurs médias américains, Equifax a ces derniers temps fait pression, avec ses pairs, auprès de l’administration américaine pour repousser une règle garantissant le droit pour les consommateurs de porter plainte contre les agences de rapports de crédit.