2,9 milliards de dossiers exposés dans la violation de données de National Public Data

Des informations publiées aujourd'hui mettent en lumière un recours collectif déposé à la suite d'une violation massive de données commise par National Public Data, une entreprise de vérification des antécédents basée en Floride. La violation, survenue vers le 8 avril 2024, a exposé les données personnelles d'environ 2,9 milliards de citoyens américains, notamment leurs noms complets, numéros de sécurité sociale et adresses, qui ont ensuite été publiés sur le dark web par un groupe cybercriminel appelé USDoD. De nombreuses victimes ignorent encore que leurs données ont été compromises en raison d'une absence de notification.

2,9 milliards de dossiers exposés dans la violation de données de National Public Data

L'une des plus grandes violations de données de l'histoire vient de devenir publique, et il y a de fortes chances que vos informations personnelles en fassent partie. La violation de National Public Data, survenue vers le 8 avril 2024, a exposé les dossiers privés d'environ 2,9 milliards de citoyens américains. Noms complets, numéros de sécurité sociale et adresses personnelles figurent parmi les données volées, qui ont ensuite été publiées sur le dark web par un groupe cybercriminel connu sous le nom d'USDoD. Un recours collectif a depuis été déposé contre National Public Data, une entreprise de vérification des antécédents basée en Floride, au cœur de l'incident.

Si vous n'avez jamais entendu parler de National Public Data auparavant, vous n'êtes pas seul. C'est en partie ce qui rend cette violation si troublante.

Qui est National Public Data et pourquoi détenait-elle vos informations ?

National Public Data est une entreprise de vérification des antécédents, le type d'entreprise qui agrège des données accessibles au public et des informations provenant de sources privées afin de constituer des profils détaillés sur des individus. Ces entreprises opèrent largement à l'abri du regard public, collectant des données issues de dossiers judiciaires, d'historiques d'adresses, de dossiers professionnels et d'autres sources.

Vous ne vous êtes jamais inscrit auprès de National Public Data. Vous n'avez jamais accepté leurs conditions d'utilisation. Pourtant, ils détenaient très probablement un dossier vous concernant, contenant certains de vos renseignements personnels les plus sensibles. C'est ainsi que fonctionne le secteur des courtiers en données, et la violation chez National Public Data est un rappel cinglant de l'ampleur de l'exposition que génèrent des entreprises avec lesquelles vous n'avez jamais interagi directement.

Les données volées auraient été proposées à la vente sur des forums du dark web avant d'être publiées librement par USDoD. Une fois que des données sont librement disponibles sur le dark web, elles deviennent accessibles à un large éventail d'acteurs malveillants, des voleurs d'identité aux escrocs menant des attaques de phishing ciblées.

Quelles informations ont été exposées et quels sont les risques ?

La combinaison de données exposées dans cette violation est particulièrement dangereuse. Les numéros de sécurité sociale, associés à un nom complet et une adresse, fournissent aux criminels presque tout ce dont ils ont besoin pour commettre une fraude à l'identité. Cela inclut :

L'ouverture de comptes de crédit frauduleux en votre nom
Le dépôt de fausses déclarations fiscales pour obtenir des remboursements
La souscription de prêts dont vous serez finalement tenu responsable
L'usurpation de votre identité dans des communications avec des organismes gouvernementaux

Contrairement à un mot de passe compromis, que vous pouvez modifier en quelques minutes, un numéro de sécurité sociale est essentiellement permanent. Vous ne pouvez pas le réinitialiser comme vous réinitialisez un identifiant de connexion. Cela rend les violations impliquant des numéros de sécurité sociale particulièrement durables dans leurs conséquences.

Pour aggraver les choses, National Public Data n'a pas notifié proactivement les personnes concernées. De nombreuses personnes ignorent totalement que leurs informations circulent désormais sur le dark web.

Ce que cela signifie pour vous

Même si vous adoptez de bonnes pratiques numériques, utilisez des mots de passe robustes et naviguez avec prudence, cette violation vous affecte très probablement sans que vous en soyez responsable. C'est là la leçon fondamentale : la protection des données personnelles ne concerne pas uniquement ce que vous faites en ligne. Elle concerne aussi ce que des tiers font avec les données qu'ils collectent à votre sujet.

Voici des mesures concrètes à prendre dès maintenant :

Placez un gel de crédit auprès des trois principaux bureaux de crédit (Equifax, Experian et TransUnion). Un gel de crédit est gratuit et empêche l'ouverture de nouveaux comptes en votre nom sans votre participation directe.
Surveillez régulièrement vos rapports de crédit. Aux États-Unis, vous avez droit à des rapports hebdomadaires gratuits sur AnnualCreditReport.com.
Restez vigilant face aux tentatives de phishing. Votre nom et votre adresse étant potentiellement entre les mains de criminels, les courriels et appels frauduleux ciblés deviennent plus convaincants. Soyez sceptique face à tout contact non sollicité vous demandant de vérifier des informations personnelles.
Envisagez un service de surveillance de l'identité qui vous alerte lorsque vos informations apparaissent dans de nouvelles violations de données ou dans des contextes suspects.
Consultez votre compte auprès de la Social Security Administration sur ssa.gov pour détecter toute activité inhabituelle.

Ces mesures répondent aux conséquences spécifiques de l'exposition de données statiques telles que les numéros de sécurité sociale et les adresses. Mais protéger votre activité numérique en cours constitue une couche de défense distincte et tout aussi importante. Chiffrer votre connexion internet avec un VPN comme hide.me garantit que vos habitudes de navigation, vos données de localisation et vos communications en ligne ne viennent pas s'ajouter au pool d'informations que les courtiers en données et les acteurs malveillants peuvent collecter à l'avenir. Cela n'effacera pas ce que National Public Data a exposé, mais cela limite la quantité de nouvelles données que vous exposez chaque jour.

Un avertissement plus large sur la confidentialité des données

La violation de National Public Data n'est pas un incident isolé. Il s'agit de l'exemple le plus important et le plus visible d'un problème systémique : des entreprises collectant d'énormes quantités de données personnelles sensibles, les stockant de manière non sécurisée et omettant d'informer les personnes concernées lorsque les choses tournent mal. Le recours collectif pourrait éventuellement aboutir à une mise en cause des responsabilités, mais les procédures judiciaires avancent lentement, et vos informations sont déjà dans la nature.

La protection de la vie privée doit fonctionner à plusieurs niveaux. Le gel de crédit réduit le risque de fraude à l'identité. La vigilance face au phishing réduit le risque d'ingénierie sociale. Et l'utilisation d'outils qui minimisent votre empreinte numérique en cours réduit le risque d'une exposition future. Aucune de ces mesures n'est suffisante à elle seule, mais ensemble, elles constituent une défense solide et significative.

Si vous souhaitez reprendre le contrôle de votre vie privée en ligne, [apprenez-en davantage sur le fonctionnement du chiffrement VPN](internal-link) et [sur la façon de vérifier si vos données sont apparues dans une violation connue](internal-link). Le VPN hide.me est l'un des éléments d'une stratégie de confidentialité plus globale qui préserve la confidentialité de votre connexion et maintient votre activité hors de portée des courtiers en données qui ont déjà prouvé qu'on ne pouvait pas leur faire confiance pour la protéger.