Equifax est l'une des plus importantes agences de crédit américaines avec TransUnion et Experian. Elles collectent et analysent les données personnelles de consommateurs sollicitant un crédit. Les têtes ont commencé à tomber vendredi chez Equifax, huit jours après la révélation d'un gigantesque piratage des données personnelles de plus de 140 millions d'Américains, dernier épisode en date d'un scandale qui a déjà entraîné une série de critiques virulentes, d'enquêtes et de plaintes. "Le directeur des systèmes d'information et le directeur en charge de la sécurité démissionnent immédiatement", a indiqué l'agence de crédit, en ajoutant que "l'enquête interne d'Equifax sur cet événement est toujours en cours et l'entreprise continue à travailler étroitement avec le FBI". Elle a annoncé la semaine dernière le piratage entre mi-mai et fin juillet de ses bases de données clients: noms, adresses, numéros de cartes de crédit ou de sécurité sociale, etc., autant d'informations pouvant permettre des usurpations d'identité désormais dans la nature. Equifax est l'une des plus importantes agences de crédit américaines avec TransUnion et Experian. Elles collectent et analysent les données personnelles de consommateurs sollicitant un crédit. Depuis la révélation de cette brèche, qui concerne potentiellement 143 millions d'Américains, Equifax, précisément censée assurer la protection informatique de ces informations, est au centre des toutes les critiques et se fait violemment vilipender sur les réseaux sociaux par de nombreux Américains inquiets et outrés. Des clients canadiens sont aussi concernés, ainsi que "moins de 400 000 Britanniques", selon un chiffre donné vendredi par Equifax, qui explique que ses systèmes au Royaume-Uni n'ont pas été piratés mais que des dossiers britanniques ont été conservés "par erreur" aux Etats-Unis entre 2011 et 2016. Vendredi, le Commissariat canadien à la protection de la vie privée a annoncé l'ouverture d'une enquête. Aux Etats-Unis, l'affaire a rapidement pris un tournant politique et une commission parlementaire a déjà convoqué le patron d'Equifax, Richard Smith, pour une audition début octobre. "Les démissions annoncées vendredi, c'est bien joli mais cela ne change rien pour les clients", a réagi sur Twitter le sénateur démocrate Brian Schatz, très virulent contre l'entreprise depuis une semaine. Sa collègue Elizabeth Warren a ouvert une enquête parlementaire, estimant qu'Equifax n'avait pas "fourni les informations nécessaires pour décrire exactement comment cela s'est passé et comment ses systèmes de sécurité ont failli". Des plaintes ont aussi été déposées par des clients aux Etats-Unis, qui accusent Equifax de n'avoir pas protégé leurs données. Au Canada, des clients ont aussi lancé une action en nom collectif pour réclamer 550 millions de dollars canadiens (380 millions d'euros) en dommages et intérêts. "Equifax aurait dû être mieux préparée aux tentatives d'intrusion", selon l'avocat John Yanchunis, qui défend certains clients américains. La justice de l'Etat de New York a ouvert une enquête, de même que la Commission fédérale du commerce américaine (FTC), chargée de la protection des consommateurs. Les investigations devront déterminer comment cette intrusion a été possible et pourquoi l'entreprise a mis plus d'un mois à rendre public le piratage, qu'elle dit avoir découvert le 29 juillet. Selon Equifax, elle a prévenu ses clients le 7 septembre "dès qu'elle a compris quelle était la population concernée". Sur le plan technique, les pirates ont profité d'une faille de sécurité sur une partie du site internet d'Equifax, une vulnérabilité appelée Apache Struts, a expliqué l'agence de crédit. Elle a concédé vendredi que cette faille avait été "identifiée et rendue publique par l'US-CERT (l'agence américaine chargée de la sécurité informatique) début mars" soit plusieurs semaines avant le début du piratage. "Equifax était au courant de cette faille à ce moment-là et a œuvré à identifier et corriger les systèmes vulnérables", a-t-elle encore reconnu, ajoutant que "son examen des événements est encore en cours". Cette révélation a aussi suscité des appels à davantage de régulation sur la protection des données personnelles par les agences de crédit. La sénatrice Elizabeth Warren s'est notamment étonnée que "les clients n'aient que peu, voire pas du tout, de pouvoir sur la façon dont leurs données sont collectées et utilisées et comment elles sont protégées". Autre interrogation : pourquoi trois cadres haut placés, dont le directeur financier, ont-ils vendu pour 1,8 million de dollars d'actions quelques jours après la découverte de la brèche ? Le titre a perdu environ le tiers de sa valeur en Bourse depuis la révélation du piratage.
