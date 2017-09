AFP 08-09-2017 | 16h23

WASHINGTON | Noms, numéros de cartes de crédit ou de sécurité sociale: des dizaines de millions de données personnelles sensibles sont dans la nature après le méga-piratage d'une société de renseignement de crédit américaine, une attaque particulièrement massive et préoccupante, selon les experts en cybersécurité.

Equifax, qui récolte et analyse les données personnelles de clients qui sollicitent un crédit, a révélé jeudi une intrusion dans ses bases de données.

Les pirates ont eu accès, de mi-mai à juillet, aux noms, adresses, dates de naissances, numéros de sécurité sociale et de permis de conduire de 143 millions d'Américains, autant d'informations qui peuvent servir à une usurpation d'identité.

Le numéro de sécurité sociale est un sésame indispensable aux États-Unis pour travailler légalement, ouvrir un compte en banque ou encore obtenir un permis de conduire et souvent louer un appartement.

Environ 200 000 numéros de cartes de crédit ont aussi été piratés ainsi que plus de 180 000 dossiers de crédits.

Sur la sellette, Equifax dévissait à Wall Street vendredi, perdant 13% à 124 dollars vers 15H.

Même si cette attaque de grande ampleur n'est pas la première --un milliard de comptes Yahoo ont été piratés ces dernières années-- elle est particulièrement préoccupante en raison de la nature des données collectées.

«C'est le genre de données que tous les pirates veulent, pour faire des usurpations d'identité et pirater les comptes», juge Darren Hayes, enseignant spécialisé dans la cybersécurité à Pace University.

«Ce n'est pas comme pour le piratage de Yahoo car alors on pouvait changer son mot de passe. Là, les données ont disparu dans la nature. Il n'y a rien que l'on puisse changer», poursuit-il.

Selon certaines rumeurs, les données dérobées à Equifax seraient déjà en vente sur le «dark web», partie cachée d'internet où se déroulent des transactions illégales.

Mais, selon les experts, il est trop tôt pour déterminer qui est derrière le piratage et quelles en sont les motivations.

Sécurité nationale

«Cela pourrait venir d'un groupe de mercenaires ou alors d'un pays qui pourrait compiler ces informations avec d'autres données», à des fins de manipulation politique, explique James Scott, de l'Institute for Critical Infrastructure Technology, think tank situé à Washington.

Peter Levin, à la tête de la société Amida Technology Solutions, spécialisée dans la protection des données, s'inquiète des conséquences sur la sécurité nationale de l'attaque contre Equifax, qui succède au piratage de données relatives à des millions de fonctionnaires fédéraux, dévoilée en 2015.

«Les conséquences possibles en matière de sécurité nationale sont très importantes», dit M. Levin.

Et comme la plupart des employés fédéraux ont des dossiers de crédit, «ces gens ont été piratés deux fois», ajoute-t-il, ce qui donne à des ennemis potentiels des informations toutes fraîches.

«On vient juste de donner aux "méchants" encore plus d'informations. Même s'ils ne sont pas à l'origine de l'attaque, ils peuvent les acheter», s'inquiète-t-il.

Les experts se demandent également pourquoi Equifax, qui dit avoir découvert le problème le 29 juillet, a mis plus d'un mois à informer ses clients. Pour Darren Hayes (Pace University), «ce délai est vraiment inquiétant».

Au moins deux plaintes en nom collectif ont déjà été déposées par des clients contre Equifax.

«Equifax détient l'une des bases de données clients les plus importantes et ils auraient dû être mieux préparés aux tentatives d'intrusion», selon l'avocat John Yanchunis, qui défend certains clients.

Equifax «analyse les données de plus de 820 millions de consommateurs et plus de 91 millions d'entreprises dans le monde», selon son site internet.

D'autres points restent encore à éclaircir, comme le fait de savoir si les données étaient cryptées, ce qui les rendrait plus difficiles à vendre.

Des plaintes ont été déposées vendredi par des investisseurs accusant Equifax d'avoir laissé trois hauts cadres vendre pour 1,8 million de dollars d'actions après la découverte du piratage. Un porte-parole du groupe a assuré à l'AFP que ces personnes «n'avaient aucune connaissance de l'intrusion au moment de la vente de leurs titres».

«Le gouvernement devrait envisager de changer les numéros de sécurité sociale», qui sont fournis à vie, estime aussi M. Hayes.

Pour certains experts, les États-Unis devraient aussi s'inspirer d'un futur règlement européen, qui obligera l'an prochain les entreprises à informer leurs clients de tout piratage sous 72 heures.