Chez Experian, il reste facile pour n’importe qui de devenir vous
(krebsonsecurity.com)- Un compte Experian pouvait être repris en le réenregistrant avec les mêmes informations personnelles et une autre adresse e-mail, et le problème d’authentification révélé en 2022 existait encore 16 mois plus tard
- Le réenregistrement nécessitait le Social Security number, la date de naissance, le nom, l’adresse, l’e-mail, un mot de passe et des questions de sécurité fondées sur la connaissance ; la vérification par téléphone mobile pouvait être contournée via « Continue another way »
- Une fois le nouveau compte créé, il était possible de consulter l’intégralité du dossier de crédit et d’activer ou désactiver le gel du crédit ; l’ancienne adresse e-mail ne recevait pas une demande d’approbation mais seulement une notification de modification
- Equifax et TransUnion exigent, lors de la modification d’un compte existant, une vérification via l’adresse e-mail enregistrée ou un code envoyé par téléphone, mais Experian ne fournissait ni approbation de modification ni moyen de récupération aux utilisateurs existants
- Si un attaquant peut recréer le compte avec un nouveau numéro de téléphone et une nouvelle adresse e-mail, la MFA au moment de la connexion seule ne suffit pas à empêcher la prise de contrôle du compte
Experian permettait de recréer un compte avec une autre adresse e-mail
- À l’été 2022, des cas de prise de contrôle de comptes Experian via réenregistrement avec une autre adresse e-mail ont été confirmés
- 16 mois plus tard, le même problème subsistait, et le propre compte Experian de Krebs avait récemment lui aussi été compromis
- Une copie du dossier de crédit Experian a été demandée via annualcreditreport.com, mais Experian a refusé de la fournir en affirmant ne pas pouvoir vérifier l’identité
- La connexion directe sur Experian.com a également échoué, le site indiquant qu’il ne reconnaissait pas le nom d’utilisateur ou le mot de passe
- La procédure de récupération du nom d’utilisateur exigeait le Social Security number complet et la date de naissance ; une partie d’une adresse e-mail que Krebs n’avait ni approuvée ni reconnue a ensuite été affichée
Faiblesses d’authentification révélées par la procédure de réenregistrement
- La page d’accueil d’Experian demandait le Social Security number et un numéro de téléphone mobile, en indiquant qu’un lien de vérification serait envoyé
- Il semblait que le site n’empêchait pas la saisie de n’importe quel numéro de téléphone aux États-Unis, et l’étape pouvait être ignorée en choisissant « Continue another way »
- La recréation du compte demandait ensuite les informations suivantes
- nom complet
- adresse
- date de naissance
- Social Security number
- adresse e-mail
- mot de passe choisi
- À l’étape suivante, il fallait répondre à 3 à 5 questions de sécurité à choix multiple, souvent fondées sur des archives publiques
- Lorsque Krebs a recréé le compte, seules 2 questions sur 5 concernaient de vraies informations le concernant, et elles portaient toutes deux sur d’anciennes adresses de résidence
- Après avoir passé les questions à choix multiple, il fallait définir un code PIN à 4 chiffres et choisir une réponse à l’une des questions prédéfinies
- Une fois le nouveau compte créé, il était possible d’accéder au tableau de bord Experian, d’y consulter l’intégralité du dossier de crédit et d’activer ou désactiver le gel du crédit
Pour l’utilisateur existant, il ne reste qu’une notification de changement
- Lorsque les données du compte sont modifiées, Experian envoie à l’ancienne adresse e-mail un message indiquant qu’une partie du profil utilisateur a été changée
- Ce message n’est pas une demande de confirmation, mais une simple notification de modification ; la seule action proposée à l’utilisateur existant est de cliquer sur un lien de connexion vers Experian.com
- L’utilisateur recevant cette notification ne peut ensuite plus se connecter avec les identifiants de son ancien compte Experian
- Le code PIN et la question de récupération ayant déjà été modifiés, l’utilisateur doit recréer un compte chez Experian pour tenter de le récupérer
- Equifax et TransUnion exigent, eux, la saisie d’un code envoyé à l’adresse e-mail enregistrée ou au numéro de téléphone lors de toute modification d’un compte existant
Réponse d’Experian et cas de vérification par des lecteurs
- Experian a refusé de communiquer l’adresse e-mail complète ajoutée sans autorisation au dossier de crédit de Krebs
- Le porte-parole d’Experian, Scott Anderson, a déclaré que l’entreprise avait mis en œuvre et faisait continuellement évoluer une approche de sécurité multicouche, incluant des mesures manuelles et proactives, afin de protéger l’identité et les informations des consommateurs
- Selon Anderson, ces mesures incluent des questions-réponses fondées sur la connaissance ainsi que des procédures de vérification de possession et de contrôle d’appareil
- Tous les consommateurs peuvent activer la MFA demandée à chaque connexion au compte, mais son efficacité reste limitée s’il est possible de recréer le compte avec un nouveau numéro de téléphone et une nouvelle adresse e-mail
- Des lecteurs ayant vu le billet sur Mastodon ont eux aussi confirmé le même problème
- @Jackerbee a indiqué avoir saisi un deuxième numéro de téléphone et une nouvelle adresse e-mail ; l’ancienne adresse n’a reçu qu’un simple e-mail signalant la mise à jour des informations, sans aucune vérification de l’e-mail existant
- Aucun SMS d’alerte n’a été envoyé sur l’ancien numéro de téléphone, et la 2FA fonctionnait ensuite sur le nouveau numéro lors de la connexion
- PeteMayo a recréé son compte Experian deux fois la même semaine, la seconde fois en saisissant un numéro de téléphone fixe aléatoire
- Dans le cas de PeteMayo, cinq questions sur son historique personnel sont apparues, puis un message « Welcome back, Pete! » lui a accordé un accès complet
Incidents de sécurité répétés chez Experian
- La personne ayant pris le contrôle du compte de Krebs n’avait pas désactivé le gel du crédit ou, si elle l’avait fait, l’avait réactivé ensuite
- Tant qu’Experian ne modifie pas sa procédure d’authentification, le compte Experian de Krebs pourra être repris de nouveau
- Experian a déjà connu par le passé des incidents répétés liés à des faiblesses élémentaires d’authentification
- En décembre 2022, une méthode de contournement permettant d’accéder au rapport de crédit complet d’un consommateur avec seulement le nom, l’adresse, la date de naissance et le Social Security number a été découverte ; Experian a reconnu que la faille avait persisté près de 7 semaines, du 9 novembre au 26 décembre 2022
- En avril 2021, l’authentification de la page de récupération du PIN d’Experian était si faible que des usurpateurs d’identité pouvaient lever le gel du dossier de crédit des consommateurs
- Le même mois, la divulgation d’un cas où une API d’Experian exposait les scores de crédit de la plupart des Américains a été rendue publique
- Parmi les précédents cités figurent aussi une class action de 2022 sur la sécurité des comptes, l’exposition des PIN de gel du crédit en 2017, la compromission de 15 millions de clients en 2015, l’accès permis à 200 millions de dossiers consommateurs en 2014, et un cas de 2013 où des données de consommateurs avaient été vendues à un service de vol d’identité
1 commentaires
Avis de Hacker News
Le problème de fond ici, c’est que maintenir la sécurité coûte cher, et qu’il est parfois moins coûteux de gérer les conséquences après un piratage
La seule solution consiste à faire en sorte que l’entreprise piratée paie un prix très élevé, au moyen d’amendes et de poursuites intentées par les victimes d’usurpation d’identité
Pour quelques cents par consultation de rapport de crédit, on peut utiliser une authentification fondée sur les connaissances, par exemple « où avez-vous habité ? » ou « cette relation commerciale est-elle bien la vôtre ? »
Les vérifications d’identité basées sur des justificatifs officiels, comme ID.me ou Stripe Identity, coûtent aussi de l’ordre de 1,50 à 2,00 dollars par tentative
Le problème, c’est que le poids de la fraude est transféré au consommateur ; il n’y a donc aucune incitation à dépenser un peu plus pour réduire la fraude, et les agences d’évaluation du crédit ne veulent pas non plus voir leur fossé concurrentiel et leurs sources de revenus érodés
En résumé, avec un meilleur système national d’identité numérique, ce problème disparaîtrait
Je m’occupe de l’IAM client, y compris de la vérification d’identité, dans la fintech, et je participe aussi, comme militant citoyen, à certains travaux liés à Login.gov
Si l’exploiter en toute sécurité coûte trop cher, il faut d’abord se demander si un tel service devrait exister, et s’il mérite de stocker autant d’informations personnelles et privées
Le RGPD peut imposer des amendes allant jusqu’à 4 % du chiffre d’affaires mondial
Bien sûr, nous ne sommes pas les clients de ces entreprises de surveillance
Mais il est tout de même étonnant qu’un tel niveau d’absence totale de sécurité ne soit pas, pour leurs vrais clients, un motif de rupture commerciale
Si ce service permet en pratique à n’importe qui d’usurper l’identité de quelqu’un, je ne vois pas pourquoi on l’utiliserait
Les entreprises paient Experian pour accéder à des informations sur les particuliers, et la seule raison pour laquelle Experian autorise des comptes de particuliers est qu’elle est légalement tenue de fournir des choses comme le gel du crédit ou le rapport de crédit annuel
Si ce n’était pas obligatoire, elle ne le ferait pas du tout, et elle n’a aucune incitation à améliorer l’expérience ou la sécurité
Si l’on prend un peu de recul, le vrai problème est l’absence de loi sur la vie privée
Les banques, les entreprises et les employeurs devraient avoir l’interdiction de partager des informations personnelles avec des tiers
En Suisse, où je vis, c’est effectivement le cas, et même l’État n’a pas accès à ces informations
Si le gouvernement soupçonne une fraude fiscale, il doit obtenir un mandat et suivre la même procédure que pour les autres infractions
Les seuls dossiers financiers accessibles sont les registres des procédures légales de recouvrement de dettes, les « Betreibungen »
Avant d’accorder un crédit à quelqu’un, on peut vérifier si une autre personne a dû aller jusqu’à le poursuivre en justice pour récupérer son argent
Et pourtant, avec aussi peu d’informations et sans agences d’évaluation du crédit, tout fonctionne bien
Cependant, sous l’effet de pressions internationales comme FATCA, la loi suisse a changé et les banques doivent désormais déclarer les clients internationaux
La Suisse montre bien pourquoi une confidentialité financière totale n’est pas équitable pour les contribuables ordinaires
Elle permet aux ultra-riches de dissimuler les impôts qu’ils devraient payer
On lit que « environ 36 % des Suisses possèdent une maison ou un appartement, soit le taux le plus bas du monde occidental, bien en dessous de la moyenne de 70 % dans l’Union européenne et de 67 % aux États-Unis »
Il y a sans doute de nombreux facteurs, mais si l’on dispose de moins d’informations sur la solvabilité, on serait probablement moins enclin à financer les gros achats de quelqu’un
[1] https://www.nytimes.com/2023/11/06/realestate/zurich-switzer...
L’entreprise où je travaille, que je ne nommerai pas, est une FAANG, et quand elle achète ces données et reçoit un cookie Experian, elle les utilise pour améliorer le suivi et la construction de graphes
Les États-Unis répètent sans cesse qu’ils se soucient de la vie privée de leurs citoyens, mais en réalité ce n’est pas le cas
Si les lois sur la vie privée étaient appliquées strictement, je pense que cela aurait aussi des répercussions sur des domaines comme les comptes bancaires, puisque la Big Tech se trouve en haut du classement des 500 plus grandes actions
Une pétition Resistbot a été lancée pour porter ce problème à l’attention des législateurs
https://resist.bot/petitions/PONADR
https://resist.bot/petitions
En Allemagne, il existe par exemple Campact, et une pétition y dépasse généralement les 200 000 signatures
S’il n’existe rien de tel aux États-Unis, quelqu’un qui a de l’argent devrait en créer un, ou promouvoir une solution existante comme OpenPetition auprès d’un nombre suffisant de signataires réguliers
https://en.wikipedia.org/wiki/Campact
S’il y a trois agences d’évaluation du crédit, existe-t-il un moyen d’éviter d’avoir un score de crédit chez l’une d’elles ?
En tant que consommateur, je me dis que ce pourrait être une façon d’accroître la concurrence dans ce secteur.
J’ai cherché, mais je n’ai pas trouvé d’option simple.
Comme les prêteurs transmettent généralement leurs informations aux trois grandes agences d’évaluation du crédit, pour qu’aucune information ne soit remontée, il faudrait fermer toutes ses cartes de crédit et tous ses prêts, puis geler son dossier de crédit.
Je ne pense pas que « l’augmentation de la concurrence » fonctionne ici.
Nous ne sommes pas les clients des agences d’évaluation du crédit, nous sommes le produit ; les clients sont les prêteurs et les autres personnes qui ont besoin de nos informations.
Du point de vue des prêteurs, ce système fonctionne bien, car la responsabilité de vérifier correctement l’identité des demandeurs avant d’accorder du crédit n’incombe pas aux prêteurs, mais est reportée sur le grand public sous la forme du fardeau de « l’usurpation d’identité ».
L’expression même « usurpation d’identité » est presque un terme mal choisi, conçu pour faire peser la responsabilité sur les individus.
Idéalement, il devrait incomber aux prêteurs d’empêcher les criminels d’exploiter mes informations et de corriger la situation lorsqu’un criminel tente de les utiliser frauduleusement.
Une meilleure solution serait de relever les critères de vérification d’identité des prêteurs.
Cela déplacerait vers les prêteurs la charge de réellement vérifier l’identité avant d’accorder du crédit.
Certains prêteurs le font effectivement assez bien, mais d’autres semblent accepter sans esprit critique les informations qu’on leur fournit.
Des normes élevées à l’échelle du secteur, qu’elles soient volontaires ou imposées par la loi, aideraient à résoudre ce problème.
Les agences d’évaluation du crédit fonctionnent comme des entreprises privées de service public avec très peu d’alternatives.
Si c’était comme une application de gestionnaire de mots de passe, on pourrait comparer plusieurs entreprises, choisir celle qu’on veut, puis partir à tout moment en cas de problème.
Elles reçoivent nos données de toutes les entreprises avec lesquelles nous faisons affaire.
Il faudrait identifier, au cas par cas, tous les liens impliquant les agences d’évaluation du crédit.
Peut-être que si l’on n’a jamais eu de carte de crédit ni contracté de prêt, on peut être en partie protégé de leurs « enquêtes ».
Il faut donc éviter les entreprises qui déclarent à l’une d’elles, mais en général elles déclarent à plusieurs agences à la fois.
En tant qu’entreprise, vous pouvez déclarer à l’agence de votre choix.
Il y a quelques jours, j’ai créé mon profil et essayé de me connecter pour voir ce qui se passait sur mon compte, mais le site était tellement cassé que je n’ai même pas pu me connecter.
Si je ne peux même pas être moi-même, je ne comprends pas comment quelqu’un pourrait se faire passer pour moi.
Celui que tu as utilisé n’est pas le canal destiné aux clients d’Experian, mais celui utilisé par les personnes qui représentent une charge pour Experian.
Ces dernières semaines, j’ai reçu d’innombrables e-mails de confirmation d’achat de grands distributeurs comme Casas Bahia, Americanas et Magazine Luiza.
Mon nom et mon CPF figurent sur plusieurs factures de smartphones et d’ordinateurs portables.
J’ai contacté tous les distributeurs, mais seul Magazine Luiza semble avoir reconnu la fraude et émis une alerte ; malgré cela, je continue à recevoir des factures.
J’ai contacté la police locale pour obtenir un boletim de ocorrência ; je ne sais pas trop comment le traduire, mais c’est un document qui décrit le problème et le fait que je n’ai pas pu prendre de mesures correctives.
Je suis très anxieux à l’idée des répercussions possibles de cette affaire, et j’ai le sentiment d’être totalement impuissant à protéger mon identité.
Contacte l’ombudsman de chaque entreprise, c’est-à-dire l’ouvidoria, et explique la situation.
Même si cela ne résout pas réellement le problème, cela laissera une trace montrant que tu as essayé de le régler à l’amiable.
Dans le pire des cas, le distributeur peut transmettre la facture frauduleuse à une agence de recouvrement et la signaler aux agences d’évaluation du crédit.
Tu ne dois jamais payer le moindre centime de cette dette frauduleuse, ni négocier quoi que ce soit.
Comme c’est une fraude, la seule issue acceptable est que la dette disparaisse.
L’argent en jeu est le leur ; si tu paies, la responsabilité se déplace vers toi.
Puisque tu as déjà le Boletim de Ocorrência et les preuves de tes échanges avec l’entreprise, comme les numéros de dossier et les dates, s’ils l’inscrivent auprès des agences d’évaluation du crédit, tu peux les poursuivre et demander des dommages et intérêts.
C’est un procès simple et courant, que les agences d’évaluation du crédit comme les distributeurs voudront régler à l’amiable.
Ils t’ont fait perdre du temps, ils doivent en payer le prix.
Ils n’ont aucune preuve que c’est toi qui as effectué cette transaction.
Et si les distributeurs, les banques et les sociétés de cartes de crédit voulaient vraiment éviter la fraude, chaque achat et chaque inscription nécessiteraient un niveau de protection digne d’une transaction immobilière.
Il faudrait une signature, un rendez-vous en personne, un acompte, une banque, un avocat, un notaire, jusqu’à une signature cryptographique ; l’e-CPF existe aussi, mais personne ne l’utilise.
Mais empêcher 100 % de la fraude implique de la friction, et les distributeurs normaux n’aiment pas la friction.
Au final, c’est leur décision commerciale : ils acceptent le risque pour encaisser l’argent plus facilement.
Dans la plupart des contextes, fournir de fausses informations d’une manière qui nuit à quelqu’un relève de la calomnie ou de la diffamation.
Il faudrait réexaminer si le reporting de crédit mérite d’être exempté de cette responsabilité, et dans quelles conditions il devrait l’être.
Si une agence d’évaluation du crédit transmet à un prêteur de fausses informations à notre sujet, ce qui nous empêche d’obtenir un prêt ou nous oblige à payer un taux d’intérêt plus élevé que ce qui serait justifié, nous devrions pouvoir obtenir gain de cause dans une action en dommages et intérêts financiers.
Le fait qu’ils aient su ou non que ces informations étaient fausses ne devrait pas avoir d’importance.
Qu’il s’agisse de négligence ou de malveillance, le préjudice existe quand même.
Pour une personne qui n’est pas une personnalité publique, il faut au minimum une faute dans la vérification des faits pour qu’il y ait diffamation.
Autrement dit, la faute n’est constituée que s’il existe une connaissance raisonnable permettant de croire que l’information est fausse.
Si tu signales à une agence d’évaluation du crédit qu’un compte est frauduleux, tu l’informes en quelque sorte que ce compte n’est pas réellement le tien ; en le retirant de ton rapport, elle se dégage alors de la responsabilité de diffuser à l’avenir ce type d’information diffamatoire.
La semaine dernière, j’ai reçu deux notifications de fuite de données
L’une venait de mon prestataire de soins, l’autre de la banque qui détient mon prêt immobilier
Les deux me conseillaient de geler mon crédit et m’offraient un an de surveillance de crédit gratuite
C’est ridiculement insuffisant, et je pense qu’il faut davantage de régulation dans ce domaine
Il faudrait une surveillance du crédit à vie, une assurance complète contre toute fraude financière commise en mon nom, et une indemnisation forfaitaire immédiate
La cause profonde, c’est que le système d’identité américain est un désastre
Il ne distingue pas l’identifiant unique, c’est-à-dire le SSN, de la valeur secrète, là encore le SSN
Toutes les autres questions de sécurité ne sont finalement que des variantes du même facteur d’authentification, « ce que l’on sait », que les fraudeurs peuvent facilement obtenir
Il n’existe littéralement aucune méthode convenue pour prouver que vous êtes bien vous
Les DMV devraient commencer à délivrer des pièces d’identité physiques dotées de fonctions numériques, comme les cartes bancaires
Il nous faut quelque chose comme Apple Pay ou Android Pay pour la vérification d’identité en ligne, et les banques devraient être obligées de prendre en charge l’identité numérique
Il faudrait aussi faire appliquer strictement la loi contre ceux qui abusent de l’identité numérique
À mon avis, le fait d’ignorer ce problème fait disparaître chaque année au moins des dizaines de milliards de dollars de PIB dans la fraude
Plus important encore, cela érode lentement notre statut d’État de droit
La délivrance elle-même serait difficile, et les États qui ferment généralement les bureaux de vote dans les quartiers ouvriers et réduisent les budgets des DMV se battront jusqu’au bout contre une mise en œuvre qui devrait être gratuite pour tous
La réponse, c’est qu’il faudrait fournir une sorte de valeur secrète numérique donnant accès, comme on fournit aujourd’hui son SSN
Cette valeur secrète numérique se retrouverait alors aux mêmes endroits en ligne que le SSN aujourd’hui, et serait vulnérable au même type de piratages
Je ne vois pas ce que cela corrigerait
En suivant le conseil de l’article, j’ai créé un compte pour empêcher quelqu’un d’autre de le faire, et il semble que j’aie été automatiquement inscrit à un compte courant numérique
Je ne voulais absolument pas de ça