Acheter une voiture ou faire tout autre achat coûteux peut être un problème. Et quand il faut financer un achat, il y a un obstacle de plus. Si vous souhaitez un financement marchand, vous devrez souvent remplir une demande de crédit ou, au moins, fournir des informations telles qu’une carte de crédit ou votre numéro de sécurité sociale.
Les récents cambriolages de pirates informatiques dans une demi-douzaine de concessionnaires automobiles dans tout le pays nous rappellent à quel point les informations personnelles et financières d’une personne peuvent être facilement compromises par une mauvaise sécurité dans l’une des dizaines de milliers d’organisations qui ont accès à ces données.
Plus tôt ce mois-ci, Farmington Hills, Michigan basé RouteOne LLC a envoyé une lettre à plus de 20 000 concessionnaires à travers le pays, avertissant des infections probables par des logiciels malveillants chez six concessionnaires qui utilisent son service. Créée en 2002, RouteOne est une coentreprise de GMAC (maintenant appelée Ally Financial), Ford Motor Credit, Toyota Financial Services et DaimlerChrysler Financial Services. Les concessionnaires utilisent le logiciel de demande de crédit et le portail Web de RouteOne pour effectuer des vérifications de crédit et traiter le financement des acheteurs de voitures. Le service permet également aux utilisateurs autorisés d’extraire des rapports de solvabilité des trois principaux bureaux d’évaluation du crédit.
En septembre 2011, RouteOne a publié un « bulletin de sécurité » à l’intention de ses affiliés, déclarant notamment :
Une lettre de RouteOne aux concessionnaires partenaires.
« Au cours des dernières années, RouteOne a reçu des informations concernant un petit nombre de concessionnaires (6) qui ont subi des compromis dans leurs environnements de sécurité système (y compris le détournement et l’utilisation abusive de leurs identifiants de connexion RouteOne, probablement en raison de l’infection de leurs ordinateurs de concession par Spyware). RouteOne est en contact et travaille avec les concessionnaires concernés pour tenter de les aider à résoudre leurs problèmes de sécurité.
Le bulletin indique plus loin que RouteOne « prend ces questions très au sérieux et a donc été en contact avec le FBI et les services secrets américains. Ryan Holmesl’agent des services secrets affecté à l’enquête sur les attaques contre les clients de RouteOne, a déclaré qu’il ne pouvait divulguer aucune information sur une enquête en cours.
La collecte massive de données, et le potentiel de cybervol qui en résulte, est un problème relativement récent. Il y a dix ans, les points d’agrégation de données comme RouteOne n’existaient pas. RouteOne a été créé pour accélérer les processus de crédit et de financement chez les concessionnaires, qui devaient auparavant naviguer et s’authentifier auprès de plusieurs fournisseurs de financement, prêteurs et bureaux de crédit. Aujourd’hui, les concessionnaires peuvent accéder à toutes ces informations avec un nom d’utilisateur et un mot de passe sur RouteOne.net, ou via une application iPhone RouteOne.
Dan Domanvice-président et avocat général de RouteOne, a déclaré que la société avait pris connaissance de l’activité non autorisée après en avoir été informée par les concessionnaires concernés.
« Il est important de noter que RouteOne n’a pas été violé dans ce cas, ni jamais dans le passé », a déclaré Doman. « Ce que nous faisons lorsque nous apprenons ces problèmes, c’est que nous essayons de les transmettre à nos concessionnaires le plus rapidement possible afin qu’ils puissent prendre les mesures appropriées pour y remédier. »
Services de vol d’identité à vendre.
Techniquement, RouteOne est correct. Il n’y a pas eu de violation de données : certains des clients qui utilisent leur service l’ont fait. Mais cette distinction n’est pas pertinente pour les voleurs qui apprécient un tel accès, et pour les consommateurs qui voient leur identité détournée et se retrouvent aux prises avec des dettes inattendues provenant de nouvelles lignes de crédit frauduleuses ouvertes en leur nom. La clandestinité criminelle regorge de services qui permettent aux mécréants de rechercher des numéros de sécurité sociale, des dates de naissance, des noms de jeune fille et d’autres informations sensibles. L’origine de ces données n’est pas claire, mais les sources les plus probables sont les comptes compromis d’entreprises et d’organisations qui ont un accès facile et fréquent aux données des consommateurs.
Ce billet de blog n’est pas destiné à distinguer RouteOne ; ce n’est là qu’un exemple récent d’un vaste problème pour les personnes qui doivent partager des données personnelles. Le même type d’agrégation de données existe dans de nombreuses autres entreprises et des dizaines de milliers d’organisations qui accèdent régulièrement aux données sensibles des consommateurs, y compris les services médicaux, dentaires et immobiliers. Les voleurs peuvent accéder à une mine d’or de données sur les consommateurs simplement en compromettant les PC à n’importe lequel de ces endroits.
Vient ensuite la question de savoir qui est chargé d’alerter les consommateurs dont les données ont été piratées lors d’une attaque comme celle-ci ? Doman de RouteOne a déclaré que la société était convaincue qu’elle n’avait aucune obligation de divulguer une violation.
L’application iPhone de RouteOne.
« Nous n’avons pas eu de violation du système, et donc aucun des déclencheurs en vertu de la loi qui obligerait RouteOne à fournir un avis aux individus n’a été franchi », a déclaré Doman.
Jeff Neuburgerun chef du groupe de technologie, de médias et de communication du cabinet d’avocats Proskauer Rose, a déclaré que Doman avait probablement raison et que toute obligation d’informer les consommateurs concernés incomberait aux concessionnaires concernés.
« Il y a 47 états différents [data breach notification] lois sur le sujet, et chacune est un peu différente, mais la plupart des lois disent que si vous collectez des informations auprès d’un consommateur et que ces informations sont compromises, vous êtes obligé d’informer le consommateur », a déclaré Neuburger. met également les entreprises dans une position où elles doivent se conformer à 47 lois d’État différentes, quel que soit l’état dans lequel elles se trouvent.
Parce que les informations personnelles sont nécessaires dans de nombreuses situations, il est presque impossible d’éviter de les partager. Comme le révèle l’incident de RouteOne, les individus ne sont pas toujours informés des intrusions de données.
Pour vous protéger, vous devriez vérifier fréquemment vos rapports de solvabilité. Des rapports de solvabilité gratuits sont disponibles une fois par an (et plus fréquemment si vous êtes victime d’un vol d’identité) auprès de chacun des trois principaux bureaux d’évaluation du crédit à rapportannueldecredit.com. Ce site central vous permet de demander une divulgation gratuite de votre dossier de crédit une fois tous les 12 mois auprès de chacune des sociétés nationales d’évaluation du crédit à la consommation : Equifax, Experian et TransUnion. (Ce site ne doit pas être confondu avec des organisations similaires qui facturent essentiellement les mêmes informations).