Si vous êtes américain (ou avez travaillé aux États-Unis) et n'êtes pas inquiet à l'heure qu'il est, vous n'avez pas été bien attentif. Voici tout ce que vous devez savoir sur le piratage d'Equifax, de quelle manière il pourrait avoir un impact sur vous et ce que vous pouvez faire pour vous protéger.
Qu’est-ce qu'Equifax ?
Vous ne connaissez pas Equifax ? Eh bien, eux vous connaissent certainement.
Equifax est l'une des quatre grandes agences d'évaluation de solvabilité basées aux États-Unis. Ces agences collectent les informations sur toutes nos habitudes d'emprunt et de paiement afin d'établir des rapports de solvabilité sur nous. Toute institution en capacité de vous accorder un crédit, de gérer votre argent ou de vous envoyer de l'argent peut ainsi accéder à votre rapport de solvabilité pour décider si elle effectue la transaction ou non.
Que collectent les agences d'évaluation de solvabilité comme Equifax ?
-
Numéros de sécurité sociale
-
Dates de naissance
-
Permis de conduire et autres données d'identification
-
Adresses
-
Numéros de carte de crédit et historiques d'achats
-
Informations sur les crédits et les dettes
-
Coordonnées bancaires
Donc que s'est-il passé lors du piratage d'Equifax ?
Mi-mars, des recherches de sécurité ont découvert une vulnérabilité dans le logiciel open source Apache Struts utilisé pour créer certains sites Web comme celui d'Equifax.
Bien qu'un correctif pour cette vulnérabilité ait été publié, Equifax ne l'a apparemment pas mis en œuvre, permettant aux pirates d'accéder à leur système de la mi-mai à la fin du mois de juillet, lorsque Equifax a finalement remarqué la faille et l'a fermée. L'entreprise a ensuite effectué un discret audit interne qui s'est terminé début septembre lorsqu'ils ont publiquement annoncé la faille.
Ce qui veut dire que non seulement les informations personnelles de ces 143 millions de personnes ont été exposées pendant près de 2 mois, mais aussi que les pirates ont eu près de 4 mois pour profiter des identités volées.
Vous voyez un peu le scandale ? Attendez, il y a mieux. Mise à part une gestion déplorable de la sécurité, il est apparu plus tard que plusieurs membres de la direction avaient monnayé d'importants montants de stock-options après la découverte de la faille, mais avant l'annonce publique. Bien que l'entreprise nie le lien entre ces ventes et la faille, on peut dire que ça fait mauvaise impression.
Comment Equifax met mes données personnelles en danger ?
Le piratage d'Equifax ne ressemble à aucun autre piratage dont vous auriez pu entendre parler jusqu'à présent. Des failles antérieures avaient toujours affecté seulement une partie de l'identité en ligne d'une personne : un compte Instagram par ci, un compte Apple par là, peut-être un numéro de carte de crédit... Mais il s'agit ici de la première faille se produisant dans un lieu collectant presque toutes les pièces d'identité reconnues par les institutions.
Cette seule faille offre tout ce dont un voleur aurait besoin pour voler votre identité
En d'autres termes, cet unique piratage d'Equifax a donné aux pirates informatiques absolument tout ce dont ils avaient besoin pour voler votre identité en bonne et due forme.
Usurpation d'identité financière
Il existe plusieurs manières dont les voleurs pourraient utiliser les informations divulguées pour l'usurpation d'identité financière. Ils pourraient :
-
Ouvrir de nouvelles marges de crédit au sein de différentes institutions et accumuler des dettes de montants indécents
-
Voler vos remboursements d'impôts et créer des problèmes avec les institutions fiscales
-
Faire des achats avec vos cartes de crédit
-
Souscrire à des utilitaires et services en votre nom
-
Obtenir des prêts étudiants
-
Ruiner votre cote de solvabilité
Chacun de ces cas peut produire des ramifications sur le long terme affectant votre vie financière et, une fois le pot aux roses découvert, la résolution peut prendre des années. Même résolue, toute la situation peut rendre l'obtention de nouvelles marges de crédit ou d'hypothèques plus difficile et même porter atteinte à vos perspectives d'emploi si l'employeur consulte votre historique.
Usurpation d'identité criminelle
Il ne s'agit cependant pas seulement d'argent. Les voleurs d'identité pourraient commettre des crimes en votre nom. Tout, du vol à l'étalage à la location d'une chambre dans un hôtel et partir sans payer, en passant par les contraventions pour excès de vitesse. Honnêtement, les criminels seraient bien plus créatifs que n'importe quelle liste que nous pourrions établir.
Le fait est que vous seriez celui ou celle qui paierez la note de ces crimes et la police, les avocats et les agents de recouvrement viendraient toquer à votre porte pour vous arrêter ou réclamer des réparations. Et dans beaucoup de cas vous seriez tenu de vous présenter physiquement dans l'état, quel qu'il soit, dans lequel le crime a eu lieu pour prouver votre innocence.
Suis-je concerné par le piratage d'Equifax ?
Vous ne pourrez pas le savoir avec certitude
Equifax a créé un site sur lequel vous pouvez saisir une partie de votre numéro de sécurité sociale pour vérifier si vous avez été touché. Tout à fait, l'entreprise qui n'a pas su protéger vos données personnelles sensibles vous demande de lui en donner plus pour vérifier si vous avez été touché. Et le pire ? Plusieurs investigateurs ont souligné que non seulement le système semble peu sécurisé (surprise !), mais qu'en plus il pourrait représenter un peu plus qu'une tactique de gain de temps de la part de l'entreprise. À la saisie de charabia, on obtient la même réponse qu'en fournissant des informations légitimes.
Ce qui est également frappant, c'est que si vous êtes canadien ou anglais, donc potentiellement touché par le piratage, le système ne propose aucune solution pour vérifier vos données.
En d'autres termes, vous ne devriez pas accorder votre confiance au site Web d'Equifax.
Partez donc du principe que vous êtes touché
La plupart des données volées correspondent à des documents et pièces d'identité qui peuvent difficilement être modifiés. Ce qui veut dire que même dans plusieurs années, quelqu'un quelque part peut accéder à ces données et s'en servir, vous infligeant tout ce qui a été mentionné ci-dessus.
Comment rester protégé suite au piratage d'Equifax ?
Remettre le génie dans sa bouteille peut s'avérer compliqué dans le cas d'Equifax. En fait, c'est à peu près impossible si vos données se trouvent parmi celles qui ont été volées. Mais il y a malgré tout quelques mesures que vous pouvez prendre :
-
Obtenez un gel de votre crédit auprès de chaque agence d'évaluation du crédit des consommateurs.
-
Mettez en place des alertes de fraude, si possible élargies.
-
Vérifiez régulièrement votre rapport de solvabilité.
-
Gardez un œil sur vos déclarations de revenus.
-
Solution extrême : Envisagez de modifier votre numéro de sécurité sociale
1. Obtenez un gel de votre crédit
C'est la toute première mesure que vous devriez prendre pour vous protéger de la fraude financière et pour conserver intacte votre cote de solvabilité. Pour mettre en place un gel de crédit (aussi appelé un gel de sécurité), vous devrez contacter chacune des quatre grandes agences de protection des consommateurs :
La mise en place du gel de crédit devrait être possible en ligne, mais dans certains cas, vous devrez peut-être appeler ou faire une demande par écrit. Chaque agence va vous fournir un code que vous pourrez utiliser pour le « dégel » de votre dossier de solvabilité si vous souhaitez demander de nouvelles marges de crédit.
Un petit honoraire peut vous être demandé pour l'application du gel, mais si vous obtenez la copie d'un rapport de police et un affidavit déclarant que vous êtes potentiellement victime d'une usurpation d'identité (ce qui n'est pas difficile à défendre, étant donné l'envergure de ce piratage), vous pourrez obtenir un gel gratuitement.
Le gel de crédit n'est pas parfait, mais c'est la meilleure chose que vous puissiez faire pour vous protéger
Même s'il vous faut débourser un peu d'argent, croyez-nous : ça en vaut largement la peine. Non seulement cette méthode empêchera un étranger d'ouvrir de nouvelles marges de crédit en votre nom, mais ça empêchera en premier lieu les émetteurs de vérifier votre dossier de solvabilité, ce qui aidera à protéger votre cote de solvabilité.
Bien que les gels se soient révélés loin d'être parfaits, ils restent la meilleure mesure que vous puissiez prendre pour protéger vos comptes.
Quoi qu'il arrive, ne vous laissez pas distraire de votre démarche par des offres pour d'autres services.Un « verrouillage de crédit » n'est pas la même chose qu'un gel de crédit et n'empêchera pas les agences de crédit de vendre votre rapport au premier venu.
Souvenez-vous que c'est grâce à la vente de votre rapport que les agences de crédit font une bonne partie de leur argent, elles ne seront donc pas prêtes à vous rendre la vie facile.Soyez déterminé.
2. Mettre en place une alerte de fraude
Une alerte de fraude est un niveau supplémentaire de sécurité que vous pouvez appliquer à votre dossier de solvabilité. Avec une alerte de fraude, aucun prêteur ou fournisseur de services ne devrait accorder de crédit sans demander votre accord au préalable. Il vous suffit d'appliquer une alerte de fraude auprès de l'une des agences ci-dessus. Elles sont tenues par la loi de partager cette alerte avec les autres agences.
Les alertes de fraude ne durent que 90 jours, mais vous devriez être en mesure d'en demander une étendue à sept ans si vous fournissez le même type de rapport de police ou d'affidavit utilisés pour un gel de crédit gratuit.
Mais gardez à l'esprit que bien qu'elles devraient vous demander votre accord, les agences ne sont pas légalement obligées de le faire. Une alerte de fraude ne devrait en aucun cas remplacer un gel de crédit.
3. Vérifiez régulièrement votre rapport de solvabilité.
Nous vous conseillons de vérifier régulièrement votre rapport de solvabilité et de signaler toute activité qui pourrait sembler suspecte. Faites-le tous les trimestres, ça ne peut pas faire de mal. Vous pouvez demander une copie gratuite de votre rapport de solvabilité de la part des agences via le site mandaté par le gouvernement américain : annualcreditreport.com.
Qu'en est-il de la surveillance du crédit ?
Les services de surveillance du crédit n'empêchent pas réellement l'ouverture de nouvelles marges de crédit et ne pourront pas empêcher les fraudeurs de commettre des crimes, mais ils peuvent être utiles plus tard pour la résolution d'une usurpation d'identité et d'une fraude financière. Ils sont également plus chers que les gels de sécurité sur votre rapport de solvabilité.
La surveillance du crédit n'empêche pas réellement la fraude ou l'usurpation d'identité
En réponse au piratage, Equifax offre en ce moment un an de surveillance du crédit gratuite. Les petites lignes de leurs clauses mentionnent qu'en utilisant le service, vous renoncez à vos droits de participer à des recours collectifs à l'avenir, mais une publication de leur part stipule que cette clause ne s'applique pas à l'offre gratuite actuelle.
Il n'y a donc vraiment aucune raison de refuser leur offre, sachant tout de même qu'une fois l'année gratuite arrivée à terme, vous pouvez vous attendre une tentative de vente offensive de quelques années de plus de leur part.
4. Gardez un œil sur vos déclarations de revenus.
Si vous découvrez que quelqu'un a déclaré vos revenus à votre place, contactez immédiatement votre agence fiscale locale et signalez l'incident. La fraude fiscale est un problème grandissant et le piratage d'Equifax vient d'en simplifier encore la perpétration.
Pensez à faire votre déclaration le plus tôt possible pour prendre l'avantage sur les fraudeurs.
5. Solution extrême : Modifiez votre numéro de sécurité sociale
Si votre numéro de sécurité sociale a été divulgué, aucune des mesures énoncées plus haut ne pourra le sécuriser de nouveau. Votre numéro de sécurité sociale peut être utilisé de multiples façons, y compris pour la fraude fiscale. Et si vous pensez qu'avoir affaire à une institution financière est une prise de tête, attendez de voir comment vous vous en sortez avec les impôts.
Bien que cela ne doive pas être pris à la légère, vous pouvez demander un nouveau numéro de sécurité sociale. Le processus n'est pas simple et va demander un tas de documents, mais le gouvernement propose une page Web qui énumère en détail tous les éléments dont vous aurez besoin pour modifier votre numéro de sécurité sociale si vous vivez aux États-Unis.
Soyez attentif aux escroqueries
Bien que l'usurpation d'identité soit une menace réelle, la quantité d'informations divulguées par le piratage d'Equifax est également une véritable aubaine pour les escrocs. Ils peuvent s'en servir pour vous cibler (vous ou vos proches) avec toutes sortes d'arnaques sur mesure.
Appels téléphoniques
« Ici Equifax, nous vous appelons pour vérifier vos données de compte. »
Non. Fait établi : Equifax ne vous appelle pas, ni vous, ni personne. Si vous recevez un appel téléphonique soi-disant d'Equifax, ne donnez aucune information personnelle. Raccrochez et appelez vous-même Equifax en utilisant le numéro donné sur leur site Web.
Fait établi : Equifax n'appelle personne. Si vous recevez un appel soi-disant provenant d'Equifax, raccrochez
Ne faites pas confiance au numéro de l'appelant : les arnaqueurs savent comment usurper les numéros d'appelants. Et s'il s'agit d'un serveur vocal, n'appuyez sur aucune touche pour parler à un représentant ou pour faire retirer votre numéro de la liste.
Fondamentalement, si vous n'êtes pas à l'origine de l'appel, ne donnez aucune information.
Vous avez reçu un appel dont vous pensez qu'il est frauduleux ? Signalez-le à la FTC.
E-mails d'hameçonnage (phishing)
Nous avons déjà parlé de la manière de repérer les e-mails factices par le passé : il est temps à présent de devenir paranoïaque. Dans le cas présent, surveillez les adresses dont proviennent les e-mails : Equifax n'envoie des e-mails qu'à partir de @equifax.com, @trustedid.com et @e.equifax.com. 
Les arnaqueurs peuvent créer des adresses presque identiques aux vraies adresses, soyez donc particulièrement attentif aux détails. Par mesure de précaution, ne cliquez simplement sur aucun lien dans les e-mails et ne téléchargez aucune pièce jointe.
Si vous pensez qu'un e-mail peut être légitime, ouvrez votre navigateur et allez directement à la page Web d'Equifax pour vous assurer de tomber directement sur la bonne page.
Sites Web pratiquant le hameçonnage (phishing)
Vous vous souvenez du site qu'Equifax a créé pour vous permettre de vérifier si vous êtes touché par la faille, celui-là même dont nous vous disions qu'il n'est pas digne de confiance ? Eh bien quelqu'un l'a déjà usurpé. Pire encore, le service clientèle d'Equifax a tweeté le site frauduleux à ses clients.
Oui, c'est vraiment arrivé, et bien que ce site factice se soit révélé ne pas être un site d'hameçonnage, il a bien été créé spécifiquement pour illustrer à quel point le site original n'est pas digne de confiance.
Donc encore une fois, croyez-nous lorsqu'on vous dit de ne cliquer sur aucun lien soi-disant provenant d'Equifax et restez extrêmement vigilant ces jours-ci.
Bien que ce ne soit pas vraiment le moment d'essayer de nouveaux produits, AVG Internet Security aide réellement à bloquer les e-mails d'hameçonnage et vous évitera d'être redirigé vers des sites Web de phishing. Si vous ne vous en servez pas déjà, essayez-le gratuitement.