La société de crédit EQUIFAX annonçait il y a quelques jours avoir été la cible d’une intrusion informatique d’ampleur au cours de l’été.
Bien qu’un des rôles de cette société de crédit soit d’aider à protéger ses clients des brèches de sécurité, ce sont près de 143 millions de dossiers confidentiels que se serait fait subtiliser Equifax plus tôt cette année. On estime que ce piratage pourrait impliquer les dossiers de près la moitié des Américains. De plus, certains Canadiens seraient aussi touchés, parce que fichés chez Equifax.
Pendant quelques semaines cet été, les pirates auraient ainsi mis la main sur des renseignements personnels sensibles de clients, incluant des noms, des numéros de sécurité sociale (équivalent de notre NAS), des dates de naissance, des adresses et des numéros de permis de conduire. Un tel cocktail d’informations est évidemment très propice à permettre d’usurper l’identité des victimes.
On rapporte qu’immédiatement avant de divulguer l’intrusion (la semaine dernière), Equifax aurait modifié les modalités contractuelles de son service en ligne, en ajoutant une clause d’arbitrage obligatoire pour tout différend entre les individus et cette société. Tout individu qui utilise le service offert gracieusement par Equifax (notamment pour savoir s’il a été parmi les victimes) doit accepter une disposition de nature contractuelle qui lui interdit ensuite d’intenter ou de participer à un recours judiciaire contre Equifax. Ces individus pourraient aller en arbitrage, mais ne pas participer à un litige judiciaire, que ce soit un recours privé ou une action collective.
Plusieurs s’entendent pour dire que c’est là aller un peu loin dans une tentative pour limiter la responsabilité éventuelle d’une entreprise. Les réactions contre cette tentative de limiter les recours éventuels contre Equifax ne se sont d’ailleurs pas fait attendre ce week-end. La société Equifax aurait publié un communiqué précisant qu’elle interprétait sa clause comme ne s’appliquant pas aux préjudices découlant de l’intrusion elle-même.
À tout événement, l’incident et ses suites continuent de bien mal refléter sur la société Equifax et ses services. Certains s’interrogent aussi notamment quant au délai écoulé entre l’intrusion et son annonce par Equifax, à savoir presque deux mois.
La réaction de l’équipe d’Equifax laisse aussi, semble-t-il, à désirer, alors que le centre d’appel d’Equifax (en fait, celui du sous-traitant auquel elle a confié cette fonction) éprouverait de sérieux problèmes à répondre à ce sujet. Il est certain que d’avoir à téléphoner neuf fois, d’être en attente 20 minutes, et pour finalement se faire dire de consulter le site Web peut en indisposer plusieurs, particulièrement dans de telles circonstances.
D’ailleurs, chose particulièrement irritante pour les individus touchés, rares sont ceux qui ont choisi de traiter avec cette entité. En effet, contrairement à la situation normale entre entreprises et individus, une société de crédit (comme Equifax) n’a pas besoin du consentement des individus pour constituer un dossier sur eux. Une intrusion qui expose le genre de renseignements hautement sensibles comme ceux qui ont été piratés ici peut en irriter plusieurs.
Certains suggèrent d’ailleurs de mieux encadrer à l’avenir les bureaux de crédit, dont les dossiers s’avèrent être des cibles de choix pour les pirates informatiques, mais que le droit encadre encore relativement peu.
Cette affaire aurait déjà des suites judiciaires au Québec, quelques jours seulement après l’annonce publique de l’incident par cette société américaine. Les médias rapportent en effet aujourd’hui qu’une demande d'action collective aurait été déposée par une résidente de la région de Montréal, pour et au nom de tous les Québécois dont le dossier de crédit aurait été piraté en juillet chez Equifax.
Fait intéressant, la demande alléguerait qu’il s’avère difficile pour la demanderesse de savoir si ses propres renseignements ont fait l’objet d’une fuite suite à ce hack. De nombreux témoignages publiés en ligne semblent confirmer qu’il s’avère souvent difficile, voire parfois quasi impossible, pour les individus, de parvenir à obtenir une réponse d’Equifax quant au fait qu’ils sont ou non parmi les victimes et, si oui, quels renseignements les pirates informatiques auraient été en mesure de subtiliser à leur égard.
Les demandes d'action collective seraient d’ailleurs déjà nombreuses au pays, à la suite de cette affaire. La firme Merchant Law Group LLP (une firme de l’Ouest) aurait notamment déposé une demande d'action collective (à portée nationale, de son dire) « au nom des Canadiens affectés par la faille de sécurité ayant mené au vol de données d’Equifax ».
C’était à prévoir, on n'a pas fini d’entendre parler de cette affaire. Reste maintenant à voir si et dans quelle mesure des Canadiens et des Québécois ont effectivement été réellement touchés et quelles réparations ils obtiendront. À suivre…