Près d’une trentaine de plaintes ont déjà été déposées à l’encontre de la société de crédit ce qui ouvre la voie à une action collective. Par ailleurs de nouvelles failles ont été découvertes et certains médias américains réclament un renforcement des sanctions en cas de fuite de données.
Il fallait s’y attendre. Après la publication jeudi dernier d’une faille pouvant potentiellement affecter plus de 140 millions de clients américains de l’entreprise Equifax, les plaintes ont commencé à s’accumuler. Tout particulièrement à cause d’une nouvelle maladresse de l’entreprise qui proposait une protection de ses clients en échange d’un renoncement à une action en justice, ainsi que nous en faisions mention la semaine dernière.
Selon Reuters, une trentaine de plaintes ont déjà été déposées entre vendredi et mardi. Les termes des plaintes sont variés : certains plaignants accusent l’entreprise de fraude sur la sécurité, d’autres parlent de négligence. Certains enfin estiment qu’Equifax a trompé intentionnellement ses actionnaires à propos de sa capacité à protéger les données de ses clients, notamment en tardant à révéler la faille. Sans compter les soupçons de délit d’initiés qui pèsent sur plusieurs cadres suspectés d’avoir vendu une partie de leurs actions quelques jours avant que l’affaire ne soit rendue publique. Tout ceci a pour conséquence immédiate de faire dégringoler le cours de l’action, laquelle a perdu 20,7% de sa valeur en deux séances, soit 3,5 milliards de dollars de capitalisation boursière.
Nouveaux trous
Et tout ceci ne constitue peut-être que les prémices d’une longue descente aux enfers. En effet, notre confrère de ZDNet vient de découvrir une autre faille de sécurité importante sur le site d’Equifax. Elle serait située au niveau de la configuration du suivi des comptes de crédit. Dès le lendemain de la divulgation de la faille, de nombreux clients se sont précipités sur leurs comptes pour changer les mots de passe et essayer de se protéger contre les risques d’attaque. Le problème tient dans l’implémentation des alertes, laquelle présente elle aussi des failles qui permet de siphonner toutes les données personnelles d’un visiteur. Comme l’explique notre confrère : « le site est vulnérable à une attaque de script multi-site (XSS) qui permet à un attaquant d’exécuter une code malveillant sur un site ou une application web légitimes, comme le site d’Equifax ».
Il semble peu probable que cette faille ait été exploitée, mais la légèreté des équipes d’Equifax est une nouvelle fois mise en cause. En effet, le chercheur en sécurité Martin Hall qui a repéré le problème (et d’autres) a contacté l’équipe de sécurité et attend toujours une quelconque réponse. Il en va de même pour notre confrère qui a également contacté l’entreprise et attend toujours une réponse.
RGPD Yankee ?
Finalement, cet énième piratage aura peut-être une vertu. En effet, on commence à voir fleurir des tribunes dans les médias américains réclamant moins d’impunité pour les entreprises qui se font dérober des données. « Nous avons le regret de vous informer que… » ne suffit plus écrit Zeynep Tufekci dans le New York Times. Il est vrai que la législation américaine en matière de protection des données privées est bien pauvre pour ne pas dire inexistante. Nous ne saurions trop recommander à nos voisins d’outre-Atlantique de regarder ce qui se met en place en Europe avec le Référentiel Général sur la Protection des Données (RGPD) qui sera en place au mois de mai 2018. Le RGPD concernera l’ensemble des données des citoyens européens, indépendamment du lieu de stockage ou de la nationalité de l’entreprise qui les hébergent. Certes, d’aucuns raillent déjà le procédé en indiquant qu’on voit mal comment des CNIL européennes pourraient aller farfouiller dans les serveurs de Google ou Facebook mais c’est déjà un premier pas dont les Américains pourraient s’inspirer. On parle de plus en plus de gouvernance mondiale (ou du moins occidentale) pour ce qui concerne la protection des données. Un RGPD étendu est sans doute une piste à explorer.