/finance/business
Navigation

Les mots de passe Equifax à risque?

Un expert affirme que des pirates peuvent aisément prendre le contrôle des comptes

L’expert en cybersécurité Éric Tremblay dit que le danger est grand que des pirates changent le mot de passe d’Equifax pour accéder au compte. Ils pourraient ainsi, par exemple, désactiver l’alerte de surveillance de crédit qui prévient le client d’une transaction louche.
Photo Martin Chevalier L’expert en cybersécurité Éric Tremblay dit que le danger est grand que des pirates changent le mot de passe d’Equifax pour accéder au compte. Ils pourraient ainsi, par exemple, désactiver l’alerte de surveillance de crédit qui prévient le client d’une transaction louche.

Coup d'oeil sur cet article

Equifax est en retard de 20 ans avec sa méthode de récupération de mot de passe qui permet de le changer trop facilement, met en garde un expert en cybersécurité, qui prône une plus grande vigilance.

« Quand quelqu’un demande de changer de mot de passe, au lieu de permettre de le changer tout de suite, ils auraient dû envoyer un courriel ou un texto pour dire : “Quelqu’un essaie de changer votre mot de passe” », observe Éric Tremblay, qui est consultant en sécurité de l’information chez EVA Technologies.

Lundi dernier, Equifax s’est entendue avec la Federal Trade Commission (FTC) américaine pour verser plus de 750 millions de dollars en amendes après la fuite massive de données personnelles de 147 millions de personnes en 2017.

Or, deux ans plus tard, en plein scandale de fuite Desjardins, la société est pointée du doigt par l’expert en cybersécurité d’EVA Technologies, Éric Tremblay, qui trouve que ses mots de passe sont trop faciles à changer.

M. Tremblay craint qu’une personne malveillante puisse changer le mot de passe d’Equifax pour accéder au compte et arrêter le service d’alerte de surveillance du crédit pour que le client ne soit plus mis au courant de transactions douteuses à son dossier.

Questions faciles

En ce moment, quand un client d’Equifax veut récupérer son mot de passe, il doit inscrire ses informations et répondre à des questions de sécurité du style : « Quel est le nom de jeune fille de votre mère ? » ou « Quelle école secondaire avez-vous fréquentée ? ». Le hic, selon Éric Tremblay, c’est que ces informations sont faciles à trouver de nos jours en scrutant les réseaux sociaux comme Facebook.

« Avant, les seules personnes qui pouvaient changer ces informations-là étaient des proches : ma femme, mes enfants, mes parents, mes sœurs, mes oncles, mes tantes », poursuit-il.

Aujourd’hui, à peu près n’importe qui peut connaître ces renseignements parce que les données de Desjardins ont été subtilisées et parce qu’il y a des plateformes qui offrent la possibilité d’aller les chercher partout sur le web, souligne l’expert.

« Il y a 20 ans, il n’y avait pas Ancestry et Facebook. À ce moment-là, une méthode comme ça n’était pas mauvaise », explique-t-il.

Pour se protéger, le spécialiste suggère de fournir des réponses farfelues aux questions de sécurité du genre : « L’école secondaire fréquentée ? Mars ! ».

Si M. Tremblay refuse de jeter la pierre à Desjardins dans cette histoire, il est plus critique à l’endroit d’Equifax, qui ne semble pas avoir pris ses mises en garde assez au sérieux à son goût.

« J’ai contacté Equifax. Ils m’ont renvoyé à leur sous-traitant en sécurité, qui a décidé de fermer le dossier », déplore M. Tremblay, qui n’en revient toujours pas.

Jointe par Le Journal, Equifax n’a pas pu répondre à nos questions.

 

Equifax

  • Siège social : Atlanta, États-Unis
  • Employés : 11 000
  • Pays : 24
  • Capitalisation boursière : 17 milliards $ US

Source : Equifax et Bloomberg