Equifax, l'un des organismes de crédit les plus importants aux Etats-Unis, a indiqué jeudi qu'une vulnérabilité applicative sur l'un de ses sites web a entrainé une brèche de données ayant exposé près de 143 millions de clients. Cette dernière a été découverte le 29 juillet mais la société indique que son exploitation a débuté mi-mai. « Les criminels ont exploité une vulnérabilité d'une application web US pour obtenir l'accès à certains fichiers. Sur la base d'une enquête menée par la société, cet accès non autorisé a eu lieu depuis mi-mai jusqu'en juillet 2017. La société n'a pas trouvé de preuve d'une activité non autorisée sur les bases de données crédit et commerciales principales d'Equifax », indique un communiqué.

Les pirates ayant exploité cette vulnérabilité ont pu accéder à des enregistrements contenant des numéros de sécurité sociale, dates de naissance et dans certains cas des numéros de permis de conduire. De plus, 209 000 clients ont vu leurs données de cartes de crédit exposées. Cette brèche de données inclut aussi des documents incluant des informations d'identification personnelles de près de 182 000 clients américains. « Dans le cadre de son investigation, Equifax a aussi identifié un accès non autorisé à de l'information personnelle de certains résidents britanniques et canadiens. Equifax va travailler avec les autorités de régulation UK et canadiennes pour déterminer les prochaines étapes appropriées. La société n'a trouvé aucune preuve que des données personnelles de clients dans d'autres pays ont été impactées », a fait savoir la société. 

Batailler quotidiennement contre les cyber risques

Equifax a lancé un site web pour les personnes potentiellement touchées, et va proposer de la surveillance de crédit pour l'ensemble de ses clients américains. La société a aussi contacté ceux directement concernés via un courrier postal avec des détails additionnels. « C'est clairement un événement décevant pour notre société et un de ceux qui frappe en plein coeur ce que nous faisons. Je m'excuse auprès des clients particuliers et entreprises pour le souci et la frustration que cela cause », a indiqué Richard F. Smith, membre du conseil d'administration et CEO d'Equifax. 

La société a recruté une entreprise spécialisée dans les intrusions pour l'aider à mener l'enquête et éviter qu'une telle brèche de données ne se reproduise. « J'ai prévenu toute notre équipe que notre but n'est pas simplement de résoudre le problème et d'aller de l'avant. Affronter les risques cyber est une bataille quotidienne. Alors que nous avons réalisé des investissements significatifs dans la sécurité des données, nous reconnaissons que nous devons faire plus. Et c'est ce que nous ferons », a ajouté le CEO.