« Chez Experian, n’importe qui peut encore facilement devenir vous »

 (krebsonsecurity.com)
1 points par GN⁺ 2023-11-12 | 1 commentaires | Partager sur WhatsApp

Les problèmes de sécurité persistants d’Experian

  • À l’été 2022, des cas ont été signalés où des comptes de rapports de crédit à la consommation chez Experian étaient détournés simplement en étant réenregistrés avec une autre adresse e-mail.
  • Même 16 mois plus tard, Experian n’a toujours pas corrigé cette grave faille de sécurité.
  • Le compte Experian du journaliste a lui aussi récemment été piraté, et il a dû créer un nouveau compte pour en reprendre l’accès.

La facilité du processus de réinscription du compte

  • En saisissant son SSN (numéro de sécurité sociale) et sa date de naissance sur Experian, le journaliste a découvert que son dossier était associé à une adresse e-mail qu’il n’avait pas validée.
  • Le site web d’Experian demande le SSN et la date de naissance pour retrouver l’identifiant du compte, puis affiche une partie d’une adresse e-mail non vérifiée.
  • Experian permet toujours de recréer un compte de dossier de crédit en utilisant des informations personnelles et une autre adresse e-mail.

La fragilité du processus de création de compte

  • La page d’accueil d’Experian demande le SSN et un numéro de mobile, en indiquant qu’un lien sera envoyé pour vérifier l’identité.
  • L’utilisateur peut cependant passer l’étape de saisie du numéro de téléphone, puis doit renseigner son nom, son adresse, sa date de naissance, son SSN, son adresse e-mail et un mot de passe.
  • Il faut ensuite répondre à 3 à 5 questions de sécurité à choix multiples, mais ces questions reposent en grande partie sur des données publiques et sont donc faciles à retrouver.

Le manque de notification par e-mail lors des changements de compte

  • Lorsqu’un nouveau compte est créé, Experian envoie à l’ancienne adresse e-mail une notification de modification du profil utilisateur.
  • Cette notification ne demande pas de valider les changements, et l’utilisateur d’origine ne peut rien faire d’autre que suivre un lien vers Experian.com pour se connecter.

L’importance du compte Experian

  • Si vous n’avez pas de compte Experian, vous pouvez en créer un afin de recevoir des alertes par e-mail lorsque votre dossier de crédit est usurpé.
  • Mais si le compte est détourné, les identifiants existants, le PIN et les questions de récupération sont tous modifiés, si bien qu’il ne reste d’autre option que de recréer le compte pour le reprendre au pirate.

Comparaison avec les autres agences de crédit

  • D’autres grandes agences de crédit à la consommation, comme Equifax ou TransUnion, exigent lors d’un changement de compte la saisie d’un code envoyé à l’adresse e-mail ou au numéro de téléphone enregistré dans le dossier.

La réaction d’Experian

  • Scott Anderson, porte-parole d’Experian, a refusé de communiquer des informations sur les adresses e-mail non vérifiées.
  • Anderson affirme qu’Experian a mis en place une approche de sécurité multicouche, incluant des questions-réponses fondées sur la connaissance, ainsi que des processus de vérification de propriété et de possession de l’appareil.

Le problème de l’efficacité des facteurs d’authentification multiples

  • Tous les consommateurs ont la possibilité d’activer des facteurs d’authentification supplémentaires demandés à chaque connexion, mais si un compte peut être recréé avec un nouveau numéro de téléphone et une nouvelle adresse e-mail, cela ne sert à rien.

L’expérience menée par des utilisateurs de Mastodon

  • Des utilisateurs de Mastodon ont testé les problèmes de sécurité d’Experian et confirmé les constatations du journaliste.
  • Lorsque Experian demandait un numéro de téléphone et les quatre derniers chiffres du SSN, ils ont choisi l’option « saisir mes informations manuellement », puis ont entré un nouveau numéro de téléphone et une nouvelle adresse e-mail.
  • Aucune vérification n’a été demandée sur l’adresse e-mail d’origine, et la 2FA (authentification à deux facteurs) a été effectuée avec le nouveau numéro de téléphone.

Les antécédents d’Experian en matière de sécurité

  • En décembre 2022, KrebsOnSecurity a découvert un moyen simple de contourner la sécurité d’Experian pour accéder à l’intégralité du rapport de crédit d’un consommateur.
  • En avril 2021, KrebsOnSecurity a révélé des usurpateurs d’identité qui déverrouillaient des dossiers de crédit de consommateurs en exploitant l’authentification laxiste de la page de récupération du PIN d’Experian.
  • Experian a déjà été critiqué à plusieurs reprises par le passé pour divers problèmes de sécurité.

L’avis de GN⁺

  • Le point le plus important est qu’Experian n’a toujours pas corrigé de graves vulnérabilités de sécurité, ce qui peut mettre en danger les informations de crédit des utilisateurs.
  • Cet article sensibilise utilement les consommateurs aux mesures à prendre pour protéger leurs informations de crédit.
  • Les problèmes de sécurité d’Experian touchent directement à la protection des données personnelles des consommateurs, un sujet de préoccupation majeur pour tout le monde.

À lire aussi

1 commentaires

 
GN⁺ 2023-11-12
Réactions sur Hacker News

  • Les clients des entreprises d’espionnage, ce n’est pas nous, mais je suis surpris que leur absence de sécurité ne constitue pas un motif de rupture pour leurs vrais clients.

    • Leurs systèmes de sécurité sont si faibles qu’on peut usurper l’identité d’autrui via leurs services, ce qui amène à s’interroger sur la raison d’être même de ces services.

  • Si les dirigeants d’Experian continuaient à se faire pirater leurs comptes de la même manière, il y aurait bien un changement un jour.

    • Supposition que si les cadres d’Experian subissaient à répétition ce type de piratage de compte, cela finirait par faire bouger les choses.

  • Je ne comprends pas comment Experian peut échapper aux poursuites alors qu’ils échouent à protéger leurs clients.

    • Expression d’incompréhension face aux fondements juridiques qui permettent à Experian de continuer à opérer malgré son incapacité à protéger les informations de ses clients.

  • Depuis quelques semaines, je reçois sans arrêt des e-mails de confirmation d’achat de smartphones et d’ordinateurs portables à mon nom provenant de grands distributeurs.

    • La personne explique qu’elle reçoit des confirmations d’achat contenant son nom et son numéro d’identité, qu’elle a contacté les commerçants ainsi que la police, mais qu’elle peine à faire résoudre le problème.

  • Mon compte Experian a été piraté, mon gel de crédit a été levé, et il a servi à contracter un prêt de 100 000 dollars auprès de Ford Credit.

    • Témoignage sur un piratage de compte Experian ayant conduit à un prêt d’un montant important, et sur le long temps nécessaire pour régler la situation.

  • Il existe sur resistbot une pétition appelant à attirer l’attention des législateurs sur ce problème.

    • Partage d’un lien vers une pétition en ligne visant à susciter un intérêt législatif sur cette question.

  • Il nous faut une meilleure alternative aux rapports de crédit.

    • Point de vue critique sur un système où, les banques et prêteurs ne pouvant plus discriminer directement sur une base raciale, la cote de crédit sert de moyen indirect de discrimination.

  • Je me demande s’il existe un moyen d’échapper à la cote de crédit d’une des trois agences d’évaluation.

    • Recherche d’informations sur la possibilité, pour un consommateur, d’éviter d’être noté par l’une des agences de crédit afin de favoriser davantage de concurrence.

  • En cas de fraude mineure (tentative ratée d’ouverture de compte ou fuite de données), on peut enregistrer une alerte à la fraude et un gel du crédit auprès de toutes les agences, ce qui réduit pendant un certain temps le courrier inutile et le risque de vrais comptes frauduleux.

    • Explication du fait que l’alerte à la fraude et le gel du crédit renforcent les procédures de vérification supplémentaires et permettent ainsi d’éviter divers problèmes.

  • J’ai essayé de me connecter au site d’Experian, mais il était tellement instable que je n’ai même pas pu me connecter.

    • Partage d’une difficulté d’accès à son propre compte en raison de problèmes de fonctionnement du site web d’Experian.