•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Equifax a redirigé des clients vers un site d’hameçonnage

La faille de sécurité informatique touche environ 143 millions de consommateurs aux États-Unis.

La faille de sécurité informatique touche environ 143 millions de consommateurs aux États-Unis.

Photo : Reuters / Dado Ruvic

Radio-Canada

L'agence d'évaluation du crédit Equifax a dirigé ses clients inquiets, dont les informations personnelles ont été compromises dans une attaque informatique, vers un site d'hameçonnage à au moins quatre reprises, ont appris des médias américains.

Les jours se suivent et se ressemblent pour Equifax. Après s’être fait voler les renseignements personnels de 143 millions de ses clients nord-américains, dont 100 000 Canadiens, et que la filiale argentine de l’entreprise a été surprise à utiliser le mot de passe « admin », voilà qu’Equifax a une fois de plus été prise en flagrant délit de négligence.

En réponse au piratage des données de ses clients en Amérique du Nord, rendu public le 7 septembre dernier, Equifax a rapidement mis sur pied un site web permettant aux personnes qui le souhaitent de vérifier si leurs informations personnelles ont été compromises. Le site equifaxsecurity2017.com (Nouvelle fenêtre) requiert d’entrer certaines données personnelles, puis de suivre un long processus d’identification avant de connaître le sort de son compte à Equifax.

Or, les responsables du compte Twitter de l’entreprise ont dirigé des clients à au moins quatre reprises vers l’adresse securityequifax2017.com, un site d’hameçonnage conçu pour ressembler à celui créé par Equifax. Le premier tweet mentionnant la fausse adresse remontait au 9 septembre (tous les tweets trompeurs ont depuis été supprimés par Equifax).

Qu’est-ce qu’une attaque d’hameçonnage?

Une attaque d’hameçonnage est une méthode utilisée par les fraudeurs qui vise à soutirer des informations personnelles (mot de passe, numéro de carte de crédit, identité, etc.) en se faisant passer pour une personne ou une organisation de confiance. Le plus souvent, les victimes sont invitées à se connecter sur un faux site web qui a toutes les allures d’un vrai, ce qui permet aux fraudeurs d’enregistrer les informations confidentielles.

L'œuvre d'un « gentil pirate »

Le faux site est l’œuvre du programmeur Nick Sweeting, qui l’a conçu pour démontrer l'insouciance d'Equifax à la suite du piratage dont l’entreprise a été victime. « J’ai créé ce site parce qu’Equifax a commis une grosse erreur en utilisant un nom de domaine auquel les gens ne peuvent pas avoir confiance [par opposition à equifax.com] », a expliqué M. Sweeting à The Verge.

Selon ce programmeur, cette imprudence facilite la tâche d’éventuels fraudeurs qui souhaiteraient créer un faux site avec une adresse presque identique.

Nick Sweeting a assuré qu’il avait sécurisé l’accès à son faux site, qui n’était plus en ligne au moment d’écrire cet article. Il a ajouté que le formulaire du site officiel n’avait pas été répliqué sur le faux site, pour éviter d’enregistrer les informations personnelles des internautes. Il a aussi indiqué qu’il avait prévenu Equifax du problème avant que l’entreprise ne redirige ses clients vers son site trompeur.

Ce n’est pas la première controverse entourant le site créé dans la foulée du piratage des 143 millions de comptes de clients d’Equifax. Lors de la mise en ligne du site officiel, des avocats avaient prévenu les internautes que les règles associées à l’utilisation du site sous-entendaient que les utilisateurs renonçaient à poursuivre la compagnie dans un recours collectif.

Avec les informations de The New York Times, et The Verge

Crimes et délits

Techno