L'agence de crédit américaine Equifax a accepté lundi de payer au moins 575 millions de dollars pour solder des enquêtes aux Etats-Unis sur le vol en 2017 de données personnelles de près de 150 millions de clients américains, canadiens et britanniques.
Ce piratage informatique, un des plus gros dans l'histoire américaine après la cyberattaque dont a été victime le portail internet Yahoo! en 2013, a touché le coeur du système des crédits accordés aux particuliers.
"Equifaxa accepté de payer au moins 575 millions de dollars, et potentiellement jusqu'à 700 millions de dollars, dans le cadre d'un accord avec l'agence de régulation fédérale, l'agence de protection des consommateurs et les 50 Etats et territoires américains", a annoncé dans un communiqué l'agence de régulation fédérale américaine, la FTC.
L'accord, qui doit encore être approuvé par un juge, sera, s'il est confirmé, la plus grosse pénalité financière infligée à une entreprise dans une affaire de vol de données.
Equifax, dont le rôle est de collecter des données personnelles de consommateurs sollicitant un crédit, avait révélé le piratage de données sensibles de plus de 147 millions de clients américains, canadiens et britanniques début septembre 2017.
Les noms, numéros de sécurité sociale, dates de naissance... avaient été dérobés, avait révélé l'entreprise. Les hackers avaient profité d'une faille dans un outil destiné à créer des applications web. Cette faille avait été identifiée par l'entreprise deux mois avant l'intrusion mais elle n'avait pas été corrigée.
Le PDG du groupe, Richard Smith, avait démissionné et avait été remplacé par un "outsider", Mark Begor.
Le hacker court toujours
Outre le piratage lui-même, une enquête avait été ouverte sur la vente d'actions par certains cadres dirigeants dans les jours ayant suivi la découverte de l'attaque.
Un dirigeant d'Equifax, Jun Ying, qui était directeur informatique d'une des branches d'activité du groupe aux Etats-Unis, avait été inculpé en mars 2018 de délit d'initié pour avoir exercé ses stock-options et liquidé ses titres bien avant l'annonce publique du piratage informatique, a annoncé la SEC, le gendarme de la Bourse.
Le montant final de l'amende dont a écopé Equifax dépendra du nombre de plaignants s'étant joints à une action judiciaire en nom collectif (class action) contre le groupe. Equifax va abonder d'au moins 380,5 millions de dollars un fonds de restitution pour indemniser les consommateurs affectés et pourrait être amenée à y ajouter 125 millions.
Newsletter
Tech & IA
Chaque jour à 13h, l’essentiel de l’actualité tech.
La société va également s'acquitter d'une amende de 175 millions pour clore les enquêtes engagées par les autorités judiciaires de 50 Etats américains et versera environ 100 millions de dollars à l'agence de protection des consommateurs CFPB. Equifax va pouvoir absorber cette amende sans gros accroc car elle avait déjà mis de côté 690 millions de dollars au premier trimestre en prévision de ce dénouement.
Un site va être créé pour fournir des informations aux victimes et gérer leurs requêtes et demandes.
"Equifaxa fait des profits et de la cupidité ses priorités au détriment de la vie privée des gens et doit par conséquent être tenue responsable d'avoir exposé des millions de personnes", a déclaré Letitia James, ministre de la Justice de l'Etat de New York. "L'ineptie, la négligence et le laxisme dans la sécurité de cette entreprise ont exposé les identités de la moitié de la population des Etats-Unis".
Les autorités américaines n'ont toujours pas déterminé qui était derrière le vol de données d'Equifax. Les experts en cybersécurité indiquent, eux, n'avoir toujours pas vu apparaître sur le marché en ligne au noir les informations personnelles volées à Equifax.
Le mystère reste entier, d'autant qu'aucune fraude directement liée à ce vol n'a encore été identifiée par les autorités, lesquelles ont sommé Equifax d'investir massivement pour renforcer ses procédures de contrôle, sa gestion des risques ainsi que ses systèmes de sécurité.
Les vols de données contre des entreprises américaines se sont, eux, multipliés. En novembre,, la chaîne hôtelière Marriott a signalé le piratage d'une base de données pouvant contenir les informations de 383 millions de clients, dont 5 millions de numéros de passeports et moins de 2.000 numéros de cartes de crédits.
Washington accuse Pékin d'être derrière cette intrusion.
