Actualités de la sécurité

Equifax, Capital One et vous : Comment se protéger des violations de données

Charlotte Empey, 2 août 2019

Est-il possible d’obtenir un remboursement ? Que devez-vous faire ? Restez informé des dernières violations de données et adoptez la meilleure attitude grâce à notre guide de survie.

Les récentes violations de données comme celles de l’agence d’évaluation de crédit aux Etats-Unis Equifax et de la banque Capital One ont touché environ 250 millions de personnes et ont fait la une des journaux. Nombres d’articles prêtent à confusion sans pour autant indiquer aux citoyens comment se protéger. 

Et il y a de quoi ne plus s’y retrouver : rien que l’affaire d’Equifax a fait l’objet de nombreux rebondissements. Fin juillet, la Federal Trade Commission (Commission fédérale du commerce, FTC) des États-Unis est parvenue à un accord avec Equifax suite à son incapacité en 2017 à protéger les données de 147 millions de personnes. Pour plus d’informations sur l’accord, rendez-vous sur ftc.gov/Equifax – les sites Web frauduleux se multiplient et usurpent tout. 

Malheureusement, il s’est avéré qu’il n’y avait pas assez d’argent pour payer à chaque victime les 125 dollars initialement proposés. « Nous avons eu beaucoup de demandes d’indemnisation en espèces, c'est-à-dire que les victimes ont préféré recevoir une petite somme d’argent. Si la plupart n’avait pas choisi cette option, nous aurions pu satisfaire toutes les demandes d'indemnisation de 125 dollars », a déclaré la FTC cette semaine. 

Selon le Washington Post, des défenseurs des droits des consommateurs ont reproché à la FTC d’avoir annoncé qu’elle rembourserait 125 dollars à chacune des victimes, pour ensuite se rétracter devant l’afflux de réponses. En divisant par 125 dollars les 31 millions de dollars que doit payer Equifax, moins de 2 % des 147 millions de victimes pourrait être indemnisé... Dans un de ses titres, le Washington Post demande : « Est-ce que quelqu’un aurait oublié de faire le calcul ? »

Alors, que faire à propos de l’accord d’Equifax ?

Une autre partie de l'accord prévoyait une surveillance du crédit gratuite pour les victimes, ce que la FTC a exhorté les consommateurs à prendre plutôt qu'un petit règlement, car « ce service est beaucoup plus avantageux ». La FTC a expliqué que le service surveille les dossiers de crédit auprès de trois agences nationales d'évaluation du crédit et propose une assurance usurpation d’identité à hauteur d’un million de dollars. 

Néanmoins, vous pouvez toujours déposer une réclamation ici et lire la FAQ pour en savoir plus. 

Violation de données chez Capital One

Mi-juillet, Capital One, une grande banque américaine spécialisée dans la gestion des cartes de crédit, a annoncé qu'un pirate informatique avait accédé aux données de 100 millions d’États-Uniens et de 6 millions de Canadiens. Voici les dernières informations sur cette violation de données :

Capital One est en train de contacter les clients États-Uniens qui ont perdu les données les plus sensibles, notamment les scores de crédit, les numéros de sécurité sociale et les numéros de compte bancaire. 

Que faire si vous êtes client chez Capital One ?

Ne vous impliquez pas dans des appels téléphoniques, des e-mails ou des SMS qui vous demandent des informations ou prétendent vous offrir une compensation financière de la part de Capitol One. L’entreprise rappelle qu’il faut se méfier des sites Web de phishing et autres escroqueriesCliquez ici pour en savoir plus et signalez toute arnaque à l’adresse abuse@capitalone.com. À l'instar d'Equifax, Capital One offre une surveillance du crédit gratuite aux victimes de la fuite de données. L’entreprise a également émis des recommandations contre les fraudes à la carte bancaire. Les clients canadiens à carte de crédit peuvent se renseigner ici. 

L'affaire pénale contre un suspect de piratage offre un regard fascinant sur la vie instable et le jugement erratique d'un pirate informatique. Si cette affaire vous intéresse, vous pouvez en lire plus dans cet excellent article du Chicago Tribune.  

equifaxblog

En quoi les violations de données représentent un problème plus large pour vous

Prenons un peu de recul : en fait, qu'est-ce qu'une violation de données ? On parle de violation de données lorsque des informations protégées ont été infiltrées. C'est aussi simple que ça. Une brèche est une ouverture anormale : un trou au fond d’un bateau ou dans un mur de protection, ou une faille exploitable dans une protection en ligne, par exemple. La violation de données survient lorsque cette ouverture illicite donne accès à des informations sensibles en ligne.

Parmi les données sensibles, on peut citer :

  • Nom de l'utilisateur
  • Adresse e-mail
  • Mot de passe
  • Adresse
  • Numéros de téléphone
  • Date de naissance
  • Informations sur le permis de conduire
  • Numéros de carte de crédit
  • Historique d'achat
  • Coordonnées bancaires
  • Numéro de sécurité sociale

Comment savoir si vos données ont été volées ?

Si une entreprise fait l’objet d'une violation de données, elle doit immédiatement vous en informer et vous indiquer le moment où la violation est survenue et quelles données ont été exposées. Cela n’a pas toujours été le cas. Par exemple, Equifax a mis quelques mois avant de prévenir sa clientèle. Bien qu’il ne puisse pas vous montrer d’informations relatives à la récente violation de données de Capital One, l’outil de vérification de piratage d’Avast peut vous indiquer si vos mots de passe ont déjà été révélés lors d’une violation de données.

RGPD et violations de données

La plus grande réforme récente sur la violation de données est le règlement général sur la protection des données (RGPD), une loi de l'Union européenne qui met l'accent sur la confidentialité et la sécurité numériques. Entré en vigueur au printemps 2018, il s'applique aux entreprises et aux particuliers qui conservent des données numériques sur des citoyens de l'UE, quel que soit leur emplacement. Il protège les consommateurs en obligeant les entreprises à respecter certaines normes de sécurité élevées et à divulguer toute information relative aux infractions dans les 72 heures suivant leur découverte. Si une entreprise enfreint ces règles, elle se verra infliger une amende pouvant aller jusqu'à 4 % de son chiffre d'affaires annuel ou de 20 millions d’euros, selon le montant le plus élevé. 

Les autorités continuent d'explorer l'étendue de la mise en œuvre du RGPD. En mai, un tribunal allemand a infligé à un policier une amende de 1 400 € pour avoir appelé un conducteur dont il avait trouvé le numéro de téléphone à l’aide des informations de sa plaque d'immatriculation. 

Que peuvent faire les cybercriminels avec les données volées ?

En général, les cybercriminels vendent les informations ou les exploitent eux-mêmes pour :

  • Retirer de l'argent des comptes bancaires
  • Obtenir de nouvelles cartes de crédit et acheter des objets coûteux
  • Accéder à des déclarations de taxe
  • Bloquer l’accès des victimes à leur compte bancaire ou à leurs réseaux sociaux

Que se passe-t-il si je suis victime d'une violation de données ?

Equifax et Capital One ne sont pas les seules entreprises à avoir récemment fait l’objet de violations de données. Rien que pendant le mois de juin, Toyota, Lexus, Adventist Health ou encore la grande entreprise de diagnostic médical nord-américaine, Quest Diagnostics, ont été victimes de violations de données, rapporte le Centre des ressources à but non lucratif sur le vol d’identité, géré conjointement avec le Ministère de la Justice nord-américain. Si vos informations personnelles ont été compromises, veuillez suivre les recommandations listées ci-dessous pour limiter les dégâts :

Déterminez quelle information a été volée

Renseignez vous exactement ce qui est arrivé à l’entreprise qui a fait l’objet d’une violation de données. Si on ne vous fournit pas tous les détails, demandez plus d'informations à la FTC et faites vous-même le bilan de ce que vous avez partagé avec cette entreprise.

Modifiez tous vos mots de passe

Créez de nouveaux mots de passe forts, utilisez un mot de passe différent pour chacun de vos comptes et une authentification à double facteur. Trouvez des idées de mots de passe forts ici.

Méfiez-vous des liens dans les e-mails ou textes louches 

Si vous recevez des e-mails ou trouvez des textes prétendant être liés à la violation de données et fournissant un lien vers lequel cliquer ou un fichier à télécharger, ne cliquez pas. Ce sont souvent des attaques de phishing de la part de cybercriminels tentant de tirer parti de votre confusion. Renseignez-vous sur les emails de phishing ici. 

Pour le vol de cartes de crédit et de débit, contactez votre banque

Si vos numéros de carte de crédit ou de débit ont été volés, contactez votre banque pour obtenir de nouveaux numéros. Changez également votre code PIN. Configurez des alertes SMS ou e-mail pour être notifié des frais, achats ou retraits suspects.

Si vos données de sécurité sociale ont été volées, contactez une agence d'évaluation du crédit

Votre numéro de sécurité sociale permet aux cybercriminels d'ouvrir de nouveaux comptes à votre nom. Pour éviter ce type de fraude, mettez une alerte de fraude sur votre nom dans l’un des trois principaux bureaux de crédit ci-dessous. (Paradoxalement, Equifax est l’une de ces sociétés.) Les entreprises qui ont fait l’objet de violation de données offrent parfois des alertes de fraude gratuites.

Au cours des prochaines années, vérifiez régulièrement votre dossier de crédit pour vous assurer qu’il n'y a rien de suspect. Pensez également à obtenir un gel de crédit. Ainsi, personne ne pourra voir votre rapport de crédit sans votre autorisation. Bien que cela puisse retarder certains de vos achats (prêts auto, prêts au logement, etc.), il permet d'éviter le vol d'identité.

Permis de conduire ou vol d'identité personnelle

Aux États-Unis, il faut se référer à la Direction des véhicules à moteur de l’État. Demandez-leur quelles sont les recommandations et meilleures pratiques pour se protéger. Ils pourront alors vous attribuer un nouveau numéro d'identification ou suivre certaines pratiques de protection contre la fraude.  

Utilisez un logiciel antivirus

Pour vous protéger contre les spams, les liens infectés et autres types de malwares, installez un antivirus. Les experts en cybersécurité reconnaissent constamment l’excellence d’Avast Antivirus Gratuit auquel plus de 400 millions de personnes dans le monde confient leur sécurité, et AV comparatives le présente comme « l’antivirus ayant le plus faible impact sur les performances de l'ordinateur ». Et tout ceci, gratuitement.

cybersec.2a