Les quatre pirates chinois responsables de la cyberattaque qui a touché Equifax en 2017 ont été inculpés par des procureurs américains. Leurs méfaits ont entraîné le vol de plus de 147 millions de données de particuliers chez le géant du crédit américain. Les procureurs ont dévoilé l’acte d’accusation visant les pirates militaires chinois : Wu Zhiyong, Wang Qian, Xu Ke et Liu Lei. Par ailleurs, le ministère de la Justice des Etats-Unis a annoncé que les quatre hackers appartiennent à un groupe de pirates connu sous le nom d’APT10, appuyé par le gouvernement chinois. Selon le procureur général William Barr, l’attaque perpétrée sur Equifax faisait partie d’une série d’actions malveillantes comme le ciblage de l’entreprise d’assurance maladie Anthem, celui de l’US Office of Personnel Management et de l’hôtel Marriott Starwood. Avant leur attaque sur Equifax, ce groupe a déjà commis d’autres actes de piratage sur HPE, IBM et le Jet Propulsion Laboratory de la NASA. Le directeur adjoint du FBI, David Bowdich a déclaré que l’attaque contre Equifax est celle qui a jusqu’ici enregistré la plus grande perte de données. Par contre, l’inculpation des pirates est un message de fermeté envoyé au gouvernement chinois, encore selon William Barr.

Pour rappel, les pirates de l’APT10 ont pu accéder aux données d’Equifax en s’introduisant via un serveur web vulnérable. Parmi les données qu’ils ont pu dérober figurent des adresses, des numéros de sécurité sociale, des informations de cartes de crédit et de permis de conduire. Cette affaire a coûté sa place au directeur général d’Equifax, Richard Smith, qui a dû prendre sa retraite avant son terme. La société a été condamnée à 575 millions de dollars d’amendes réglées de concert avec la Federal Trade Commission. Dans tout les cas, le nouveau directeur général de la société, Mark Begor, se dit satisfait de l’annonce de l’acte d’inculpation. La Chine n’a émis aucun commentaire à ce jour.

À lire aussi La prégnance du risque cyber conduit à l’émergence d’un nouveau profil : le Directeur cybersécurité