Je me souviens encore de ce 7 septembre 2017 quand j’ai vu l’annonce du hack d’Equifax débouler dans mes flux RSS. 143 millions d’Américains touchés avec leurs numéros de sécurité sociale, leurs dates de naissance, leurs adresses…etc… tout était dans la nature. Mais le pire dans cette histoire, c’est que ce n’était pas juste une faille technique. C’était un concentré de négligence, d’incompétence et de cupidité qui allait devenir le cas d’école de tout ce qu’il ne faut pas faire en cybersécurité. Trêve de blabla, je vous raconte tout ça tout de suite !
Pour comprendre l’ampleur du désastre, il faut d’abord comprendre ce qu’est Equifax. Fondée en 1899 sous le nom de Retail Credit Company, c’est l’une des trois grandes agences de crédit américaines avec Experian et TransUnion. Ces entreprises collectent des informations sur pratiquement tous les Américains adultes telles que l’historique de crédit, dettes, paiements, emplois… Bref, tout ce qui permet de calculer votre score de crédit, ce fameux nombre qui détermine si vous pouvez avoir un prêt, louer un appartement, ou même décrocher certains jobs. Le truc avec Equifax, c’est que vous n’avez jamais demandé à être leur client. Ils collectent vos données que vous le vouliez ou non.
“Les victimes sont laissées à leur compte pendant que les responsables s’en tirent.”
En 2017, ils avaient des dossiers sur environ 820 millions de consommateurs dans le monde, dont 147 millions rien qu’aux États-Unis. Trente millions de victimes, soit 44% de la population américaine, c’est une réalité alarmante. Richard Smith, le CEO d’Equifax depuis 2005, incarne à merveille le prototype du dirigeant d’entreprise à succès. Cependant, derrière cette façade triomphale, l’infrastructure IT de l’entreprise était un véritable château de cartes. Tout commence donc le 7 mars 2017 avec une vulnérabilité majeure dans un framework très utilisé, Apache Struts, que l’entreprise néglige pourtant de patcher.
À partir du 10 mars, les hackers commencent à pénétrer le système faible d’Equifax. Ce n’est qu’un début : alors que plusieurs opérations de hacking amateurs s’introduisent sans difficulté, ce sont bientôt des cyber-espions chinois qui prennent les rênes. En quelques semaines, ils découvrent des milliers d’identifiants et mots de passe en clair. Plutôt que de sécuriser les données, l’entreprise continuait tranquillement à engranger des sommes importantes, ignorant les failles béantes sous ses pieds. Finalement, l’incident est révélé au public, mais trop tard, après des mois de pillage.
Malgré la catastrophe, les conséquences pour Equifax sont relativement limitées. Un accord avec la FTC, qui semble gigantesque d’un premier abord, ne compense en réalité que très peu les victimes de cette fuite massive. Beaucoup se retrouvent les mains vides, alors que les décisionnaires de la société peuplent toujours les couloirs d’Equifax, confortablement installés avec des parachutes dorés. Ce drame souligne les dangers d’un système où des entreprises privées détiennent des données sensibles sans régulation ni responsabilité adéquate.
En somme, ce hack d’Equifax révèle les failles d’un système de confidentialité des données qui montre ses limites et en appelle à une réflexion collective. En fin de compte, nous ne sommes pas des clients, mais des produits, et quand le produit est volé, les conséquences tombent surtout sur nous. C’est là le vrai scandale.
