La débâcle d'Equifax fait encore la une des journaux, alors qu'un ancien dirigeant de l'une des unités d'affaires de l'entreprise a été condamné à quatre mois de prison la semaine dernière pour avoir profité de sa connaissance précoce de l'incident de sécurité massif survenu il y a deux ans, selon un communiqué du ministère américain de la Justice (DOJ).

Jun Ying, l'ancien chef de l'information (DSI) de la division Solutions d'information d'Equifax aux États-Unis, a plaidé coupable en mars dernier d'avoir vendu ses actions du bureau de crédit. Il a admis s'être débarrassé de ses actions après avoir pris connaissance de la brèche, mais avant qu'elle ne soit divulguée au public, une semaine et demie plus tard.

Cela lui a finalement valu la peine de prison, qui lui a été infligée jeudi dernier, en sus d'une amende de 55 000 $ US. Il devra également verser un dédommagement d'une valeur de quelque 117 000 $US et passer une année de libération sous surveillance après avoir purgé sa peine d'emprisonnement.

Selon MarketWatch, qui cite ici la plainte déposée devant le tribunal, les procureurs demandaient une peine d'emprisonnement plus longue - un an et trois mois, ainsi qu'une amende de 75 000 $ US et un dédommagement d'une valeur de 117 000 $US.

« Ce n’est pas bon »

Comme l'a raconté en détail le DOJ (Department of Justice), Ying savait très bien ce qu'il faisait lorsqu'il a pris conscience du piratage, et il a agi avec empressement :


Le vendredi 25 août 2017, Ying a envoyé un texto à un collègue pour lui dire que la brèche sur laquelle ils travaillaient « sonne mal. C'est peut-être nous qui avons une brèche. » Le lundi suivant, Ying a effectué des recherches sur le Web sur l'impact de l'atteinte à la protection des données d'Experian en 2015 sur le cours de ses actions. Plus tard ce matin-là, Ying a exercé toutes ses options d'achat d'actions, ce qui lui a permis de recevoir 6 815 actions d'Equifax, qu'il a ensuite vendues. Il a empoché des recettes de plus de 950 000 $ et réalisé un gain de plus de 480 000 $, tout en évitant une perte de plus de 117 000 $. Le 7 septembre 2017, Equifax a annoncé publiquement son atteinte à la protection des données, ce qui a entraîné une chute du cours de ses actions.

La brèche chez Experian, un concurrent d'Equifax, a touché jusqu'à 15 millions de personnes.

Pendant ce temps, la brèche à Equifax a finalement été trouvée pour affecter jusqu'à 148 millions de personnes. Un Américain sur deux, de même que des centaines de milliers de Canadiens et de Britanniques, possédaient toute une gamme de renseignements de nature délicate, notamment des noms, des numéros de sécurité sociale, des dates de naissance et des adresses, siphonnés par des pirates. Comme nous l'avons souligné il y a quelques semaines, l'incident a été facilité par une vulnérabilité critique dans le framework de l'application Web Apache Struts pour laquelle un correctif avait été publié le 6 mars 2017 mais qu'Equifax n'a pas installé à temps.

Ying est le deuxième ancien dirigeant d'Equifax à faire face aux conséquences juridiques d’un délit d'initié lié à cette brèche de sécurité. En octobre dernier, Sudhakar Reddy Bonthu, ancien directeur du développement de produits logiciels d'Equifax, a été condamné à huit mois d'emprisonnement à domicile, une amende de 50 000 $ et à rembourser ses gains mal acquis.