Crédit :CC0 Domaine public
Lorsque la violation de données d'Equifax affectant près de 147 millions de personnes s'est produite il y a un peu plus d'un an, la plupart des consommateurs ont pris peu ou pas de mesures pour se protéger malgré le risque d'usurpation d'identité, Des chercheurs de l'Université du Michigan ont trouvé.
Dans des entretiens complets avec 24 consommateurs, une équipe de chercheurs de la U-M School of Information dirigée par Yixin Zou et Florian Schaub a découvert que peu de gens savaient s'ils étaient touchés par la violation, bien qu'ils en aient entendu parler et compris les risques d'usurpation d'identité, et encore moins ont pris des mesures de protection, comme le gel de leurs rapports de crédit.
« Nous nous attendions à ce que les gens aient des problèmes pour se protéger efficacement, mais le degré d'inaction après la violation de données était définitivement inattendu, " dit Zo, un doctorant à l'école. « Alors qu'une majorité de nos participants (19 sur 24) savaient qu'une grande violation de données s'était produite dans l'un des trois grands bureaux de crédit et ont démontré une connaissance approfondie des risques d'usurpation d'identité, plus de la moitié d'entre eux n'ont traduit cette prise de conscience en aucune mesure de protection."
Les chercheurs ont déclaré que de nombreux participants présentaient ce qu'on appelle un biais d'optimisme.
"Ils ont sous-estimé la probabilité d'être victime d'un vol d'identité, pensant qu'elles ne seraient pas une cible attrayante et partant du principe que quiconque aurait accès aux données volées ciblerait les personnes les plus aisées et ayant de meilleurs antécédents de crédit, même s'il est peu probable que les escrocs enquêtent sur leur situation financière avant de voler leur identité, " dit Schaub, U-M professeur assistant d'information. "En réalité, d'autres recherches ont montré que les personnes de faible statut socio-économique sont affectées de manière disproportionnée par le vol d'identité."
Certains consommateurs ont signalé une tendance à retarder les tâches liées à la sécurité jusqu'à ce qu'elles soient réellement endommagées, même si la récupération après une usurpation d'identité demande plus de travail et de temps que la prévention, les chercheurs ont dit.
De nombreux consommateurs pensent que si un problème survient, il se produira tout de suite, alors, quand tout semble bien peu de temps après une brèche, ils passent à autre chose sans plus y penser.
Ensuite, il y en avait qui ne connaissaient pas les mesures de protection disponibles ou avaient entendu certains termes mais en avaient mal interprété le sens.
"Par exemple, les « alertes à la fraude » étaient comprises comme des alertes envoyées par votre banque ou société de carte de crédit lorsque des activités frauduleuses ont été détectées sur votre compte, alors que placer une alerte à la fraude sur votre dossier de crédit signifie en fait ajouter un indicateur à votre rapport de crédit lorsqu'il est demandé par les vendeurs, les alertant que vous pourriez être à risque de fraude et qu'ils doivent vérifier soigneusement votre identité avant une transaction, " dit Zou. " Le crédit se bloque, qui sont le seul moyen efficace d'empêcher les entreprises de demander votre rapport de crédit sans que vous le « dégeliez » explicitement à nouveau, ont été interprétés à tort comme « gelant » les cartes de crédit par la moitié de nos participants. »
Pour un certain nombre de consommateurs, leur inaction était une question de coût. Le gel du crédit peut coûter jusqu'à 10 $ pour chacun des trois principaux bureaux de crédit.
« Le gel et le déblocage de vos rapports de crédit devraient être gratuits dans tout le pays, car c'est la seule mesure qui permet de limiter efficacement certains types d'usurpation d'identité, " dit Schaub. " De même, les consommateurs devraient pouvoir accéder gratuitement à leurs rapports de crédit à tout moment, alors que les lois actuelles n'exigent qu'un seul rapport de crédit gratuit par an.
« La bonne nouvelle est que les gels de crédit seront gratuits dans tous les États américains à partir de septembre, à la suite d'une nouvelle loi fédérale modifiant la Fair Credit Reporting Act. Cependant, cette nouvelle loi ne résout pas certains des autres problèmes que nous avons découverts. Par exemple, les consommateurs doivent toujours imposer des gels de crédit distincts à chaque bureau de crédit, quelque chose dont beaucoup de nos participants n'étaient pas au courant."
Les actions privilégiées par ceux qui ont pris le temps de surveiller leurs comptes étaient des options sans frais comme aller sur le site Web d'Equifax, vérifier les rapports de crédit soit via le site de rapport de crédit annuel ou des services tiers gratuits, et une autosurveillance plus étroite de la banque existante, carte de crédit et autres comptes financiers.
Ces actions peuvent aider à détecter l'usurpation d'identité lorsqu'elle se produit, mais à eux seuls ne font pas grand-chose pour empêcher l'usurpation d'identité, les chercheurs ont dit. La violation d'Equifax comprenait des noms, numéros de sécurité sociale, date de naissance, adresses et numéros de permis de conduire de toutes les personnes concernées, plus des numéros de carte de crédit d'environ 209, 000 consommateurs et documents de litige de crédit pour 182 autres, 000 personnes.
Zou et Schaub ont déclaré que les médias avaient joué un rôle en informant les consommateurs de la violation mais pas en incitant à agir. Au lieu, les consommateurs étaient plus disposés à prendre des mesures lorsqu'ils étaient invités par des membres de leur famille, collègues ou experts.
Les chercheurs ont déclaré que cela souligne la nécessité pour les entreprises non seulement de signaler les violations, mais d'informer clairement les consommateurs de la manière dont elles sont affectées, quels sont leurs risques liés à l'exposition de leurs données personnelles, et quelles mesures prendre pour se protéger. Habituellement, lorsqu'une violation se produit, les entreprises envoient un message indiquant que les données des consommateurs peuvent avoir été compromises, avec une offre de suivi de crédit gratuit et sans plus, laissant les consommateurs décider s'ils veulent prendre des mesures ou attendre et espérer le meilleur.
L'Identity Theft Resource Center montre que le nombre de violations de données aux États-Unis est passé de 157 en 2005 à 1, 579 en 2017 avec près de 179 millions de dossiers exposés. En tout, de 2005 à ce jour, il y en a eu 9, 215 violations et 1,1 milliard d'enregistrements exposés.