Ce n'est pas une petite boulette, mais une énorme et cumulative boulette. Mais comme ce n'est pas une news (la vidéo elle-même date de plus d'un an), je partage ce délire ici.
Allons y pour le TL;DW (tl;dr à la fin) :
Equifax est l'une des trois plus grosses agences de reporting de crédits. Ils gardent toutes sortes d'infos sur la population américaine pour répondre à des demandes à quel point X ou Y est un bon client pour un crédit. C'est autour d'eux que ça parle, pour quelque chose qui débute en septembre 2017.
Septembre 2017, on apprend que Equifax a été victime d'un piratage massif permettant à des hackers de subtiliser les infos de 145M d'américains, soit environ la moitié de la population. Des données identitaires comme nom, ID, numéro de permis, de sécu, adresse, tel, date de naissance...
Tout ce qui permet d'identifier une personne pour ce genre de compagnie. Et dont la plupart ne peuvent être changés (même si on va jusqu'à changer son nom, la date de naissance ou le numéro de sécu est à vie).
Ces infos sont suffisantes pour de l'usurpation d'identité pour des tas de grosses opérations : ouvrir un compte bancaire, souscrire un crédit, obtenir un boulot, ou même remplir votre feuille d'impôts.
Maintenant, commençons dans les trucs drôles.
Equifax avait connaissance de cette brèche depuis juillet 2017. Ils ont attendu septembre pour en parler. Que s'est-il passé entre-temps ? trois fois rien. Si on exclue plusieurs personnes dans les hauts postes qui ont vendu pour des millions d'actions de la compagnie avant que cette brèche ne soit rendue publique. Et ensuite d'affirmer que ces personnes n'étaient alors pas au courant de la brèche... donc personne chez eux n'a pensé à leur signaler ce piratage massif ? coïncidence pour sûr.
On apprend alors que le département de la sécurité intérieure avait prévenu Equifax d'une faille de sécurité majeure dans un de leurs softs depuis mars. 4 mois avant la brèche pour un patch pour combler cela, mais y'a rien qui presse apparemment.
Equifax a fait annoncer que UNE personne du staff n'a pas relayé l'info, et que c'est seulement à cause de cela que ça n'a pas été patché.
C'est difficilement crédible quand Equifax a déjà subi, pendant des années, des problèmes d'intrusion qui ont envoyé des données personnelles dans la nature. Des centaines, des milliers de comptes. C'est simplement que cette fois, ça a été plus massif que jamais.
Parenthèse donnée en chemin d'autres problèmes, comme cette femme qui a reçu des centaines de courrier concernant les rapports de crédits... d'autres personnes (avec leurs noms, adresse, banque, etc) envoyés à elle.
Continuons. Equifax crée alors un site web pour permettre aux clients de signaler leur situation suite à cette brèche, de se renseigner sur que faire et que craindre.
Sauf que...
Sauf qu'au lieu de prendre leurs précautions (un bon SSL, un sous-élément de leur site établi, etc), ils ont créé un site qu'il était fort simple d'imiter, sans sécurité apparente, ce qu'a fait un dev en PoC. Tout en annonçant sur certaines pages que ce site était un fake, et mettant un Rickroll sur qui cliquerait sur la FAQ.
Bon, faire du faux site, c'est pas aussi grave, d'autres peuvent faire de même.
Sauf que...
Sauf qu'Equifax, cette bande de bras cassés, s'est mis à signaler dans plusieurs de leurs tweets l'adresse de ce faux site comme étant leur site sur lequel se renseigner et se signaler.
Continuons.
Equifax propose alors d'offrir un an de suivi gratuit en contrepartie de ce qui s'est passé, avec un site pour faire une demande officielle, histoire de rattraper le coup... hem.
Sauf que...
Sauf que les CGV signalent qu'en demandant cette contrepartie, le client accepte en retour de renoncer à toutes poursuites contre Equifax rapport à cette brèche de sécurité. Il s'agit juste d'un appât pour faire annuler le maximum de recours possibles, surtout quand on connaît la puissance potentielle des class actions aux EU.
Continuons.
Suite à cette brèche, la société LifeLock, une autre société de monitoring de crédit, a récupéré une partie de la clientèle déçue de Equifax.
Sauf que...
Sauf que les documents ont ensuite démontré que LifeLock n'est qu'une façade, et que les contrats établis par LifeLock sont ensuite sous-traités par Equifax. Ils ne font que servir d'intermédiaire et prennent leur commission au passage.
Du coup, ils ont dû payer de fortes amendes à la Federal Trade Commission pour avoir menti concernant leurs procédures de sécurité et protections anti-usurpation d'identité, puisqu'au final tout repose sur Equifax.
D'ailleurs, ils ne font pas de la bonne pub à ce sujet. Leur président a tourné dans une pub pour montrer l'efficacité de leur solution anti-usurpation, en diffusant à la télé un panneau publicitaire motorisé affichant en grand son nom et numéro de sécu qui circulait alors dans les rues. Manque de pot, suite à cela, il a été victime de 13 affaires d'usurpation de son identité.
Bien, quelles conséquences à tout cela, hm ?
Et bien, le fisc américain a ensuite signé avec Equifax un contrat de plusieurs millions pour lutter contre la fraude fiscale. Ce contrat a ensuite été suspendu cependant.
Oliver explique alors que de toute façon, Equifax fait la majeure partie de son CA en revendant à des banques & autres les informations qu'ils obtiennent sur leurs clients. Et au final, les grandes compagnies utilisant leurs services n'ont pas fait de déclaration publique signalant qu'elles renonçaient maintenant à travailler avec eux.
tl;dr : une faille de sécurité majeure sur l'une des plus grosse société de monitoring de crédits aux EU, les infos identitaires de plus de la moitié de la population américaine dans la nature, une grande facilité à usurper ainsi des identités pour toutes sortes de choses, et peu d'impact final sur la société responsable de ce désastre, en dépit d'avoir agi comme de gros connards avant/pendant/après cette crise, et rien n'a vraiment changé pour eux.
« Nous avons propagé sur Extranet une histoire fabriquée de toutes pièces selon laquelle une certaine disposition d'étoiles, vue depuis la planète d'origine des butariens, formaient le visage d'une déesse galarienne.
Sans chercher à vérifier ces informations, certains ont décrété que c'était la preuve de l'existence de la déesse. Ceux qui notaient le manque de preuves se faisaient attaquer. »
— Legion, geth trolleur à portée galactique