ajoute enquête à New York, communiqué du FBI, expert, cours de clôture

WASHINGTON (awp/afp) - Noms, numéros de cartes de crédit ou de sécurité sociale: des dizaines de millions de données personnelles sont dans la nature après le méga-piratage d'une société américaine de renseignement de crédit, une attaque particulièrement massive et préoccupante qui a déclenché une série de plaintes et d'enquêtes.

Equifax, qui récolte et analyse les données personnelles de clients sollicitant un crédit, a révélé jeudi une intrusion dans ses bases de données. Les pirates ont eu accès, de mi-mai à juillet, aux noms, adresses, dates de naissances, numéros de sécurité sociale et parfois de permis de conduire de 143 millions d'Américains. Autant d'informations qui peuvent servir à une usurpation d'identité.

Le numéro de sécurité sociale est un sésame indispensable aux Etats-Unis pour travailler, ouvrir un compte en banque ou encore obtenir un permis de conduire et souvent louer un appartement.

Environ 200.000 numéros de cartes de crédit ont aussi été piratés ainsi que plus de 180.000 dossiers de crédits.

La justice new-yorkaise a annoncé vendredi l'ouverture d'une enquête.

"Mes services ont l'intention de faire toute la lumière sur pourquoi et comment un piratage aussi important a pu avoir lieu", a indiqué le procureur général de l'Etat Eric Schneiderman dans un communiqué.

Au niveau fédéral, le FBI a indiqué "suivre la situation comme il se doit" et des membres du Congrès ont annoncé leur intention de procéder à des auditions.

Sur la sellette, Equifax a dévissé à Wall Street, perdant 13,6%, à 123,23 dollars, vers 22H40 GMT

Même si cette attaque de grande ampleur n'est pas la première --un milliard de comptes Yahoo ont été piratés ces dernières années-- elle est particulièrement préoccupante en raison de la nature des données collectées.

"C'est le genre de données que tous les pirates veulent, pour faire des usurpations d'identité et pirater les comptes", juge Darren Hayes, enseignant spécialisé dans la cybersécurité à Pace University.

"Ce n'est pas comme pour le piratage de Yahoo car alors on pouvait changer son mot de passe. Là, les données ont disparu dans la nature. Il n'y a rien que l'on puisse changer", poursuit-il.

Selon certaines rumeurs, les données dérobées à Equifax seraient déjà en vente sur le "dark web", partie cachée d'internet où se déroulent des transactions illégales.

Mais, selon les experts, il est trop tôt pour déterminer qui est derrière le piratage et quelles en sont les motivations.

- 'Sécurité nationale' -

"Cela pourrait venir d'un groupe de mercenaires ou alors d'un pays qui pourrait compiler ces informations avec d'autres données", à des fins de manipulation politique, explique James Scott, de l'Institute for Critical Infrastructure Technology, centre de réflexion situé à Washington.

Peter Levin, à la tête de la société Amida Technology Solutions, spécialisée dans la protection des données, s'inquiète des conséquences sur la sécurité nationale de l'attaque contre Equifax, qui succède au piratage de données relatives à des millions de fonctionnaires fédéraux, dévoilé en 2015.

"Les conséquences possibles en matière de sécurité nationale sont très importantes", dit M. Levin.

Et comme la plupart des employés fédéraux ont des dossiers de crédit, "ces gens ont été piratés deux fois", ajoute-t-il, ce qui donne à des ennemis potentiels des informations toutes fraîches.

"On vient juste de donner aux +méchants+ encore plus d'informations. Même s'ils ne sont pas à l'origine de l'attaque, ils peuvent les acheter", s'inquiète-t-il.

Les experts se demandent aussi comment une attaque de cette ampleur a pu toucher une société précisément censée protéger des données hautement sensibles.

"Equifax se savait une cible de choix pour les pirates", lance Annie Anton, universitaire spécialiste de la sécurité informatique.

Elle s'étonne aussi du fait que la firme utilise encore les numéros de sécurité sociale comme moyen de vérification des identités malgré les risques notoires qu'il y a à conserver ces informations-clés.

Interrogations aussi autour des dates: pourquoi Equifax, qui dit avoir découvert le problème le 29 juillet, a mis plus d'un mois à informer ses clients ? Pour Darren Hayes, "ce délai est vraiment inquiétant".

Au moins deux plaintes en nom collectif ont déjà été déposées par des clients contre Equifax.

Equifax, qui détient les données de plus de 900 millions de particuliers et d'entreprises dans le monde, "aurait dû être mieux préparé aux tentatives d'intrusion", selon l'avocat John Yanchunis, qui défend certains clients.

Quelques investisseurs ont aussi déposé plainte, accusant la société d'avoir laissé trois hauts cadres vendre pour 1,8 million de dollars d'actions après la découverte du piratage. Le groupe assure que ces personnes "n'avaient aucune connaissance de l'intrusion au moment de la vente de leurs titres".

rl/jc/elc