Equifax a accepté de payer les agences américaines.
Igor Golovniov / Images SOPA / LightRocket via Getty Images
Equifax a accepté de verser au moins 575 millions de dollars à la Federal Trade Commission des États-Unis, à la Consumer Financial Protection Bureau et aux 50 États américains pour sa violation massive des données en 2017. Si cela ne suffit pas à indemniser les personnes touchées par la violation, la société d'évaluation du crédit pourrait devoir payer jusqu'à 700 millions de dollars – un chiffre sur lequel nous avons eu des indices vendredi.
Le règlement, annoncé lundi, comprend 300 millions de dollars destinés à un fonds destiné aux consommateurs concernés proposant des services de surveillance du crédit et à ceux ayant acheté des services de surveillance du crédit ou de l'identité à la suite de la violation. Si cela ne couvre pas les pertes, Equifax apportera 125 millions de dollars au fonds. Il est également convenu de verser 175 millions de dollars à 48 États, les districts de Columbia et de Porto Rico, ainsi que des sanctions pénales de 100 millions de dollars à la CFPB.
Les pirates ont volé les informations personnelles – y compris les numéros de sécurité sociale et les adresses à la maison – de près de 148 millions d'Américains sur les serveurs d'Equifax lors d'une violation de données datant de mai et juillet 2017. Un rapport du Comité de surveillance de la Chambre de décembre 2018 a qualifié cette violation "entièrement évitable". "disant qu'Equifax n'avait pris aucune mesure pour l'empêcher et n'était pas préparée aux conséquences.
"La violation de données par Equifax a mis plus de 100 millions d'Américains en danger en révélant leurs numéros de sécurité sociale et d'autres informations personnelles", a déclaré le représentant du président de la commission House Energy et Commerce, Frank Pallone, dans un communiqué. "Ce règlement est loin de rassurer les consommateurs et, une fois encore, montre les limites de la capacité de la FTC à demander de lourdes pénalités et des réparations effectives pour les consommateurs."
Equifax a été victime d'un piratage après avoir omis de corriger une vulnérabilité pour laquelle il avait été averti en mars 2017. Il n'a pas appris que ses systèmes avaient été exposés à des attaques avant quatre mois plus tard, en juillet 2017, lorsqu'il avait été piraté.
Une partie du règlement exigera qu'Equifax mette en œuvre des normes de sécurité, telles que des tests annuels, pour remédier à ses vulnérabilités et ses risques, et notamment pour s'assurer que les correctifs de ses systèmes sont mis à jour. Equifax devra également s'assurer que les tiers qui travaillent avec elle sont à l'abri des cyberattaques.
De plus, le règlement exigera qu'Equifax obtienne des audits tiers de sa sécurité tous les deux ans, et la FTC doit approuver les tests.
"Equifax n'a pas pris les mesures de base qui auraient pu empêcher l'infraction qui a touché environ 147 millions de consommateurs", a déclaré le président de la FTC, Joe Simons, dans un communiqué. "Ce règlement nécessite que l'entreprise prenne des mesures pour améliorer la sécurité de ses données et garantisse que les consommateurs lésés par cette violation puissent recevoir de l'aide pour se protéger du vol d'identité et de la fraude."
La FTC a également demandé à Equifax de nommer un employé responsable de son programme de cybersécurité. Lors de la conférence sur la cybersécurité Black Hat en 2018, le nouveau responsable de la sécurité de l'information d'Equifax, Jamil Farschi, a déclaré à Camaraderielimited que la société traversait un tournant majeur pour regagner la confiance du public en dépensant 200 millions de dollars pour son programme de cybersécurité l'année dernière.
Les agences ont décidé de ce montant pour le règlement afin qu'Equifax dispose de suffisamment d'argent pour améliorer sa cybersécurité, a déclaré Kathy Kraninger, directrice du CFPB, lors d'une conférence de presse lundi.
"Nous voulons nous assurer de ne pas mettre la société en faillite ou de la faire fermer", a-t-elle déclaré.
Lecture en cours:
Regarde ça:
Equifax paiera jusqu'à 700 millions de dollars pour sa violation de données historique
2:41
Equifax n'a averti le public de la violation qu'en septembre 2017 et deux dirigeants d'Equifax ont procédé à des opérations d'initiés avant que le piratage ne soit de notoriété publique. En juin, l'ancien dirigeant principal de l'information d'Equifax a été reconnu coupable et condamné à quatre mois de prison.
La procureure générale de l'État de New York, Letitia James, a reproché à Equifax d'avoir "placé les profits avant la vie privée et l'avidité au détriment des gens".
"L’inaptitude, la négligence et les normes de sécurité laxistes de cette société ont mis en danger l’identité de la moitié de la population américaine", a-t-elle déclaré dans un communiqué.
Lors d'une conférence de presse, le procureur général du Maryland, Brian Frosh, a déclaré que le règlement établirait la norme pour les autres agences d'évaluation du crédit si elles subissaient une violation à l'avenir.
"La principale cause de cette violation est l'échec d'Equifax à corriger les vulnérabilités critiques de son réseau. Cela a persisté pendant 76 jours", a déclaré Frosh. "Ce qui est peut-être encore plus aggravant, c'est le fait que la plupart des victimes ne sont pas des clients d'Equifax."
Equifax a également été publiquement critiquée pour sa réponse aux conséquences du piratage, notamment pour son site Web conçu pour permettre aux utilisateurs de vérifier s’ils étaient concernés, ce qui a donné des résultats aléatoires. Des chercheurs en sécurité ont découvert que le site Web pouvait facilement être usurpé, permettant ainsi à des pirates potentiels de tromper davantage de victimes d'Equifax.
L’inaptitude, la négligence et les normes de sécurité laxistes de cette société ont mis en péril l’identité de la moitié de la population américaine.
Letitia James, procureur général de New York
La FTC a mis en place une page pour que les victimes d’une infraction d’Equifax déposent des réclamations contre la société, ce qui pourrait représenter jusqu'à 20 000 dollars en espèces pour les personnes touchées par le piratage. Les victimes recevraient l'argent pour les dépenses liées à la violation, y compris les pertes de comptes, les honoraires payés aux comptables et aux avocats, ainsi que le temps passé à traiter la violation. Le règlement exige qu'Equifax paie jusqu'à 25 $ l'heure pour les victimes qui peuvent prouver qu'elles ont été touchées par le piratage.
"Tout vol d'identité ayant eu lieu avec le même type de données volées après la violation sera remboursable", a déclaré Kraninger.
Mark Begor, PDG d'Equifax, a déclaré dans un communiqué que le règlement constitue "une étape positive" pour les consommateurs américains et la société.
"Le fonds de protection de la consommation pouvant atteindre 425 millions de dollars que nous annonçons aujourd'hui renforce notre engagement à donner la priorité aux consommateurs et à la protection de leurs données – et reflète le sérieux avec lequel nous prenons cette affaire", a-t-il déclaré.
Les sénateurs Elizabeth Warren et Mark Warner ont présenté un projet de loi en janvier dernier selon lequel des entreprises comme Equifax seraient tenues responsables des futures violations de données.
"Les Américains ne choisissent pas de sociétés telles qu'Equifax collectant leurs données. En raison de la nature de leurs modèles commerciaux, les agences d'évaluation du crédit collectent vos informations personnelles, que vous le vouliez ou non", a déclaré Warner, un démocrate de Virginie, dans un communiqué. . "Compte tenu de cela, les sanctions pour non-sécurisation de ces données devraient être suffisamment sévères."
Il a appelé à des réformes structurelles sur la manière dont les agences d'évaluation du crédit sont tenues responsables, afin de s'assurer que des violations comme celle d'Equifax ne se reproduisent plus.
Le sénateur Ron Wyden, un démocrate de l'Oregon, a également déclaré que l'ordre de la FTC ne serait pas suffisant pour Equifax.
"Dans un monde juste, ces dirigeants iraient en prison. Personne ne devrait être en mesure de collecter des informations extrêmement sensibles sur 200 millions de personnes sans leur consentement, de les traiter avec un mépris téméraire et de simplement payer une amende lorsqu'un piratage prévisible et facilement évitable se déroule ", a déclaré Wyden dans un communiqué.
En novembre dernier, Wyden a proposé un projet de loi qui emprisonnerait les PDG pour mentir au sujet de la protection de la vie privée et donnerait à la FTC davantage de pouvoir pour pénaliser les entreprises.
Lors d'une conférence de presse, M. Simons a noté que le règlement n'était possible qu'en collaborant avec les procureurs généraux des États et le CFPB, soulignant que la FTC n'avait pas le pouvoir de demander des sanctions civiles pour les premières infractions.
"Je réitère mon appel au Congrès pour qu'il adopte une loi fédérale qui donne à la FTC le pouvoir de demander des sanctions pour les violations de première infraction", a déclaré Simons.
Publié à l'origine le 22 juillet à 17h02, heure du Pacifique.
Mise à jour, 5h50 [heure du Pacifique]: Ajoute plus de détail.
Mise à jour, 6h23 du matin: Ajoute des informations sur le règlement et la violation par Equifax.
Mise à jour, 6h46 pm: Ajoute des remarques des législateurs.
Mise à jour, 7h45, heure du Pacifique: Ajoute des détails de la conférence de presse de la FTC.
Mise à jour, 9h36, heure du Pacifique: Ajoute une déclaration de Wyden.
