Après la violation d'Equifax, la surveillance de la fraude au crédit est-elle vraiment utile ?

Un gros plan d'un rapport de solvabilité d'Equifax. En septembre 2017, une violation de données chez Equifax a révélé les informations personnelles de milliers de clients.

Equifax, l'un des «trois grands» bureaux de surveillance du crédit, est devenu la dernière victime d'une grave violation de données, dans laquelle les cybercriminels ont eu accès aux noms, numéros de sécurité sociale, dates de naissance et adresses de 143 millions d'Américains, et numéros de carte de crédit pour 209 000 personnes particulièrement malchanceuses. Le gâchis d'Equifax fait suite à une série de piratages très médiatisés sur des entreprises comme Yahoo!, Target et Home Depot.

Nous connaissons maintenant l'exercice de relations publiques. La modeste entreprise présente des excuses, promet d'enquêter et de réparer la faille de sécurité, et offre à ses clients un an de services gratuits de surveillance du crédit. Jusqu'à présent, Equifax s'en tient au scénario, créant un site Web sur lequel les consommateurs peuvent accéder gratuitement au service de protection contre la fraude TrustedID Premier d'Equifax, généralement un service d'abonnement payant.

Mais un service de protection contre le vol d'identité sera-t-il vraiment utile après une telle violation ?

Tout d'abord, l'ironie. Equifax promet de protéger les consommateurs alors qu'elle vient de s'avérer incapable de protéger les consommateurs. Pour aggraver les choses, vous devez (encore) remettre toutes vos informations personnelles pour vous inscrire à TrustedID Premier, et certains experts remettent en question la sécurité du site Web même qu'Equifax a mis en place pour résoudre le problème.

Le consultant en sécurité et auteur Adam Shostack pense qu'il ne faut absolument pas faire confiance à Equifax. En fait, il a demandé à la Federal Trade Commission des États-Unis d'obliger les entreprises ayant commis des violations de données à donner aux consommateurs un bon de 50 $ ou 100 $ afin qu'ils puissent choisir leur propre service de surveillance, et pas seulement le service qu'« Equifax impose aux gens », déclare Shostack.

Ensuite, il y a la plus grande question de savoir si l'un de ces services de surveillance de la fraude, TrustedID ou autre, protège vraiment les consommateurs. Avivah Litan, analyste des fraudes chez Gartner Inc., a déclaré au blogueur sur la sécurité Brian Krebbs que ces services sont essentiellement des "véhicules de relations publiques". Bien sûr, ils alertent un consommateur lorsqu'un nouveau compte de crédit a été ouvert à son nom - carte de crédit, prêt automobile, hypothèque, etc. - mais ils ne bloquent pas automatiquement la transaction ou ne nettoient pas le gâchis. Une fois qu'un compte frauduleux est ouvert, "le mal est fait", note Litan.

Il a souligné qu'un voleur d'identité peut gâcher votre vie de nombreuses façons qui ne seront pas détectées par la plupart des services de surveillance du crédit, comme le vol de votre remboursement d'impôt, la demande de services gouvernementaux avec votre numéro de sécurité sociale ou l'utilisation de vos informations. demander un faux permis de conduire à votre nom.

Qui sont les clients d'Equifax ?

La complication supplémentaire avec le piratage d'Equifax est que, même si toute personne ayant un dossier de crédit est techniquement un "client" d'Equifax, personne ne l'est vraiment. Rahul Telang étudie l'économie de la sécurité de l'information à l'Université Carnegie Mellon. Il dit qu'Equifax et les autres bureaux de crédit sont des courtiers en données qui fournissent des antécédents de crédit principalement aux entreprises et aux employeurs, et non aux consommateurs.

« Vous faites affaire avec votre détaillant. Vous faites affaire avec votre banque. Vous faites affaire avec votre compagnie de carte de crédit. Mais vous ne faites pas affaire directement avec Equifax », dit Telang. "Vous n'êtes pas un 'client d'Equifax.'"

Dans une étude récente portant sur 500 000 clients d'une grande banque américaine, Telang a constaté que les clients victimes d'une forme de fraude sur leur compte étaient 1 à 3 % plus susceptibles de quitter la banque dans les six mois suivant l'événement. Bien qu'il ne s'agisse pas d'un chiffre énorme, Telang affirme qu'il est "économiquement significatif" et représente les premières données concrètes prouvant que les consommateurs prendront des mesures s'ils perdent confiance dans une institution financière.

Mais cela n'arrivera pas avec Equifax. Les consommateurs ne peuvent pas punir Equifax pour leur piètre sécurité en emmenant nos affaires ailleurs. Les trois grands bureaux de surveillance du crédit – les deux autres sont Experian et TransUnion – vont continuer à suivre et à stocker nos données hautement sensibles, que cela nous plaise ou non. C'est leur modèle économique.

Protégez-vous contre la fraude au crédit

Alors, que pouvez-vous faire pour vous protéger si vous ne faites pas confiance à Equifax pour le faire à votre place ? Telang et d'autres soulignent que la plupart, sinon tous les services offerts par TrustedID et d'autres services de surveillance de la fraude peuvent être effectués gratuitement par les consommateurs eux-mêmes. Voici comment :

• Vous pouvez obtenir un rapport de solvabilité gratuit auprès des trois agences d'évaluation du crédit tous les 12 mois sur annualcreditreport.com. Étalez cela en demandant un rapport à un bureau différent tous les quatre mois.
• Vous pouvez geler le crédit de vos rapports de solvabilité Equifax, TransUnion ou Experian, ce qui bloquera toute nouvelle demande de crédit jusqu'à ce que vous leviez le gel. Le coût est généralement gratuit si vous avez été victime d'un vol d'identité.
• Vous pouvez vous inscrire pour une alerte de fraude gratuite de 90 jours auprès de n'importe quel bureau de crédit, qui vous avertit de toutes les nouvelles demandes de crédit (et vous pouvez renouveler l'alerte de fraude autant de fois que vous le souhaitez).