Comment une entreprise chargée de vérifier l’identité de millions d’Américains a-t-elle pu voir les données personnelles de plus de 5,6 millions de citoyens partir dans la nature ? La société 700Credit, qui propose des services de vérification d’identité et de crédit pour les concessionnaires automobiles américains, vient d’être au cœur d’un scandale de cybersécurité inquiétant. Mais comment en est-on arrivé là ?
L’affaire a éclaté lorsqu’un acteur malveillant non identifié a réussi à infiltrer les serveurs de 700Credit, basé dans le Michigan, en octobre dernier. Cette intrusion n’est pas isolée : les cyberattaques visant les données personnelles sensibles explosent aux États-Unis, mais rarement une cible impliquant autant de consommateurs lambda. Quelles failles de sécurité ont pu être exploitées pour obtenir noms, adresses, dates de naissance et numéros de sécurité sociale en masse ? La société n’a pour l’instant pas donné de détails sur la nature exacte de l’attaque. Faut-il craindre d’autres vols du même type chez des entreprises sous-traitantes aux pratiques parfois opaques ?
Entre mai et octobre 2025, selon le procureur général du Michigan, des informations extrêmement privées collectées auprès de centaines de concessionnaires ont ainsi été dérobées. La réaction de 700Credit s’est faite attendre : des courriers d’information sont seulement maintenant envoyés aux victimes. Cela pose une question cruciale : pourquoi alerter après coup, alors que les données étaient exposées depuis des semaines ? Et surtout, les personnes concernées n’ont-elles pas droit à plus de transparence sur l’utilisation de leurs informations ?
Le scandale met en lumière la vulnérabilité des géants de la donnée et l’urgence pour les consommateurs de se protéger eux-mêmes.
Dana Nessel, procureure générale du Michigan, recommande aux consommateurs d’activer au plus vite un gel de crédit ou des services de surveillance proposés gratuitement “après l’incident”. Mais est-ce suffisant pour limiter les dégâts, alors que les numéros de sécurité sociale dérobés peuvent être exploités pendant des années ? Pourquoi la réglementation américaine, pourtant stricte sur le papier, semble-t-elle constamment prise de court ?
En creusant, on découvre un écosystème où des entreprises comme 700Credit, souvent inconnues du grand public, stockent des millions de profils à des fins de scoring ou d’identification d’emprunteurs. Or, la loi oblige surtout les prestataires à signaler les incidents après-coup, sans toujours sanctionner le manque d’anticipation ou l’entretien de systèmes de sécurité faibles. Ne serait-il pas temps de repenser la façon dont nos données sont collectées, stockées… et surtout protégées ?
L’affaire 700Credit pose enfin une interrogation large à chaque citoyen : peut-on encore contrôler ce qu’il advient de nos données dans une société numérique où chaque opération de financement passe entre les mains d’une multitude d’acteurs invisibles ?
Source : Techcrunch
