En 2017, 145 millions de personnes (près d’un Américain sur deux) avaient été touchées par ce piratage de données personnelles, piratage resté mystérieux et impuni. Après deux ans d’enquête, les services de cybersécurité américains ont découvert qu’il avait été perpétré par des membres d’une unité de recherche de l’armée chinoise.
Les États-Unis ont annoncé lundi l’inculpation de quatre agents chinois pour le piratage de données personnelles de l’agence de crédit Equifax, qui avait touché près d’un Américain sur deux en 2017 et était resté mystérieux jusqu’ici.
Il s’agit de “l’un des plus gros piratages de données de l’histoire”, avec environ 145 millions de victimes aux Etats-Unis, a rappelé le ministre de la Justice Bill Barr lors d’une conférence de presse.
Des clients d’Equifax, dont le rôle est de collecter des données personnelles de consommateurs sollicitant un crédit, avaient également été affectés au Canada et au Royaume-Uni.
Après deux ans d’enquête, Wu Zhiyong, Wang Qian, Xu Ke et Liu Lei ont été inculpés la semaine dernière à Atlanta pour association de malfaiteurs en vue de commettre une fraude informatique, de l’espionnage économique et une fraude aux communications.
Membres d’une unité de recherche de l’armée chinoise, ils se trouvent en Chine et ne peuvent être arrêtés. “Mais un jour, ils commettront une erreur et nous serons là”, a assuré le directeur adjoint de la police fédérale, David Bowdich.
Ils sont accusés d’avoir exploité une faille dans un logiciel utilisé par Equifax sur son site de résolution des litiges. Une fois introduits dans le système informatique de l’agence, ils sont soupçonnés d’avoir obtenu les noms, dates de naissance et numéros de sécurité sociale de 147 millions de personnes, et les numéros de permis d’au moins dix millions d’Américains.
Mise en garde à Pékin
“Ce vol n’a pas seulement causé d’importants dommages financiers à Equifax, mais a (…) imposé des coûts et un fardeau substantiels à tous ceux qui ont dû prendre des mesures pour se prémunir contre l’usurpation de leur identité”, a souligné le ministre, en adressant une mise en garde à Pékin.
“Nous rappelons au gouvernement chinois que nous avons la capacité de lever le voile d’anonymat qui recouvre internet et de retrouver les pirates que le pays déploie régulièrement contre nous”, a-t-il dit.
Les Etats-Unis ont déjà attribué plusieurs attaques informatiques de grande ampleur au gouvernement chinois, notamment le piratage d’une base de données du géant de l’hôtellerie Marriott en 2018.
En parallèle, “des intrusions informatiques soutenues par l’Etat ont visé des secrets industriels et des informations économiques confidentielles”, a ajouté Bill Barr, en mentionnant des enquêtes ouvertes dans les secteurs de l’industrie nucléaire, aéronautique ou métallurgique.
Selon lui, environ 80% des poursuites ouvertes ces dernières années pour espionnage économique impliquent le gouvernement chinois et 60% des dossiers de vols de secrets commerciaux ont un lien avec la Chine.
Equifax poursuivi pour défaut de correction de failles critiques
Le mystère était resté entier jusqu’ici, d’autant que les experts en cybersécurité n’avaient pas vu apparaître sur le marché noir d’internet les informations personnelles subtilisées.
Des poursuites judiciaires avaient toutefois été engagées contre Equifax en raison de différents manquements. La faille utilisée par les pirates avait en effet été identifiée par l’entreprise deux mois avant l’intrusion, mais elle n’avait pas été corrigée.
L’agence avait également été critiquée parce que ses systèmes de sécurité étaient insuffisants et parce qu’elle avait tardé à révéler la fuite. Le scandale avait entraîné la démission du PDG du groupe, Richard Smith.
Soupçon de délit d’initiés de cadres dirigeants après des ventes d’actions
Equifax avait accepté en juillet de payer au moins 575 millions de dollars pour solder les différentes enquêtes.
“Au cours des deux dernières années, Equifax a réalisé des progrès et des investissements significatifs pour protéger les données qui nous sont confiées”, a réagi lundi son nouveau PDG Mark Begor. L’annonce des inculpations est “une autre étape positive pour nous aider à tourner la page”, a-t-il ajouté dans un communiqué.
Outre le piratage lui-même, une enquête avait été ouverte sur la vente d’actions par certains cadres dirigeants dans les jours ayant suivi la découverte de l’attaque. Un ex-directeur informatique a notamment été inculpé de délit d’initié pour avoir exercé ses stock-options et liquidé ses titres bien avant l’annonce publique du piratage.