La société de crédit plus que centenaire aurait été victime d’une brèche dès le mois de mars. Les plaintes se multiplient et une enquête du Department of Justice (DOJ) a été ouverte. Le RSSI et le DSI de l’entreprise ont démissionné.
De mal en pis ! Chaque jour qui passe apporte son lot de révélations sur Equifax et celles-ci sont loin d’être à l’avantage de l’entreprise, pas plus qu’à son partenaire Mandiant, chargé de débusquer et colmater les failles.
La responsabilité de Mandiant peut elle être engagée ?
Dans un communiqué, Equifax indique que la brèche découverte en mars dernier n’était pas liée au hack qui a exposé les données personnelles et financières de 143 millions de consommateurs américains. Cependant il est également précisé qu’il s’agit des mêmes attaquants.
Dans les deux cas, Equifax a fait appel à la société Mandiant. La première fois, la faille a été considérée comme étant sous contrôle et l’entreprise a donc fait appel à nouveau à Mandiant lorsque des activités suspectes ont été décelées le 29 juillet. La responsabilité de Mandiant pourrait alors être engagée et il n’est pas impossible qu’Equifax se retourne contre cette société car Equifax croule maintenant sous les actions judiciaires.
Cependant, dans ses premières communications, Equifax indiquait avoir fait appel à Mandiant le 29 juillet mais n’avait jamais indiqué que l’entreprise était déjà intervenue en mars. Mandiant n’aurait pour le moment pas répondu aux interrogations de nos confrères américains. Selon Bloomberg, Equifax aurait indiqué que les hackers auraient pénétré les ordinateurs de l’entreprise au travers d’une faille affectant le site web, faille qui aurait été identifiée en mars mais n’aurait pas été patchée lorsque la nouvelle intrusion a été détectée le 29 juillet. Si ce point est confirmé, Equifax est réellement dans de sales draps.
La justice se saisit de l’affaire
Dans l’intervalle, les DSI et RSSI de l’entreprise ont démissionné de leurs fonctions en fin de semaine dernière. De même la révélation de cette nouvelle faille intervenue en mars va compliquer la défense de l’entreprise et de certains de ses cadres qui expliquent avoir vendu leurs actions sans être au courant des failles ayant pu survenir.
De fait, la justice américaine a ouvert une enquête criminelle sur ce sujet. La commission américaine des opérations boursières (SEC) a indiqué vouloir collaborer avec la justice à ce propos. 4 dirigeants de l’entreprise seraient concernés dont le directeur financier John Gamble. Depuis la révélation de la (puis des) faille(s), l’action a perdu 35% de sa valeur. On a d’ailleurs appris que M. Gamble avait également vendu des actions le 23 mai dernier pour près de 2 millions de dollars, soit à lui seul plus que le montant des ventes intervenues par 4 personnes le 1er août.