Alors qu’elle subit toujours les contrecoups du vol des données de ses 4,2 millions de membres, la direction de Desjardins s’inquiète maintenant d’une « vulnérabilité » sur le site d’Equifax, liée à la présence de logiciels pisteurs qui récoltent des données personnelles dans la partie sécurisée du service, a appris La Presse.

Tristan Péloquin Tristan Péloquin
La Presse

La firme Equifax a été mandatée par Desjardins pour aider à protéger les informations bancaires de ses clients. Les trackers qu’on retrouve sur son site web servent à des fins explicites de marketing et de publicité en ligne. L’un d’eux a même la capacité de récolter la position GPS des utilisateurs, selon nos vérifications.

C’est le spécialiste en cybermétrie Stéphane Hamel qui a sonné l’alarme à la mi-novembre, dans un rapport intitulé Equifax expose les clients de Desjardins à de nouveaux risques, publié sur Medium.com. « Desjardins envoie des millions de personnes à Equifax. Je m’inquiète très sérieusement de toutes ces pratiques de marketing et de collecte de données, dit M. Hamel en entrevue avec La Presse.

Equifax ne semble absolument pas avoir des pratiques aussi rigoureuses que celles qu’on trouve sur le site transactionnel de Desjardins », ajoute-t-il. 

La direction de Desjardins dit avoir parlé à M. Hamel à la suite de la publication de son rapport, et affirme qu’elle a ensuite rencontré Equifax pour discuter des problèmes qu’il a soulevés.

En novembre dernier, Equifax a affirmé qu’il corrigerait certaines vulnérabilités. Constatant que les changements n’avaient pas été effectués, nous les avons relancés à ce sujet et nous continuons de suivre la situation de près.

Chantal Corbeil, porte-parole de Desjardins 

« Je ne peux pas exactement vous dire les vulnérabilités, on ne veut quand même pas exposer Equifax. Mais oui, on sait qu’il y a des trackers, oui, on sait qu’il y a des choses avec le site web, et on a des discussions avec eux », précise Mme Corbeil. 

« Ils nous disent qu’ils vont corriger la situation, mais ce n’est pas fait. »

Le service en ligne d’Equifax permet notamment aux utilisateurs de voir leur score de crédit. Il affiche aussi des détails sur l’ensemble des prêteurs à qui une personne a emprunté de l’argent, ainsi que la date d’échéance des prêts ou de contrats de téléphonie cellulaire, par exemple. 

Concrètement, ce que M. Hamel a découvert sur le site d’Equifax est une série de logiciels pisteurs (trackers), d’identifiants (cookies) et de gestionnaires de balises (tag managers), qui s’activent dans la section protégée où se trouvent ces informations.

Certains de ces logiciels renvoient de l’information à Facebook, Google, Microsoft et à une dizaine d’autres « agrégateurs », qui les revendent à des annonceurs. 

Les données sont en principe complètement anonymisées, mais sont néanmoins rattachées à un numéro d’identifiant unique associé à chaque utilisateur.

La Presse a tenté de savoir précisément ce que récolte Equifax, mais en vain. L’entreprise n’a pas été en mesure de répondre à nos questions lundi. L’information transmise par ces logiciels est chiffrée, pour la rendre illisible aux personnes qui les intercepteraient.

Enregistrer tout ce que l’utilisateur voit

« À partir du moment où un code informatique tiers roule sur une partie sécurisée, il peut voir et enregistrer toutes les données que l’utilisateur voit lui-même sur sa page », indique Jean Loup Le Roux, spécialiste de la sécurité informatique qui a travaillé dans l’univers publicitaire. Ce type de code n’a pas d’affaire sur la partie sécurisée du site. Ça connecte deux univers — le monde du marketing numérique et celui des données financières privées — qui ne devraient pas se parler », dit-il. 

Jean-François Renaud, cofondateur de la boîte de marketing numérique Adviso, croit que ces logiciels pisteurs peuvent, par exemple, voir si une personne a un prêt auto qui arrive à échéance. « C’est anonymisé, mais si Equifax est capable de vendre des données qui disent que ces 250 personnes-là ont un niveau très, très élevé de changer d’auto dans les trois mois, parce qu’on sait que leur prêt vient à échéance, c’est une information qui a beaucoup de valeur pour les compagnies qui vendent des autos », explique-t-il. 

M. Renaud se dit plus ou moins inquiet des découvertes de M. Hamel. « C’est vrai qu’il y a des tags pour vendre de la donnée publicitaire, mais il n’y a là rien de très surprenant : le modèle d’affaires d’Equifax tourne autour de la collecte de données », commente-t-il. 

Mais pour le professeur Nicolas Vermeys, spécialiste du droit des technologies de l’information à l’Université de Montréal, la présence de ces logiciels pisteurs sur le site d’Equifax pose « clairement un problème de vie privée ». « L’expectative de vie privée est plus importante sur un site comme celui d’Equifax qu’ailleurs sur le web. Maintenant, il faut voir ce que dit le contrat qu’on accepte lorsqu’on s’inscrit au service. On l’accepte tous sans trop regarder parce qu’on n’a pas vraiment d’autre choix. Est-ce qu’il y a des clauses abusives ? Est-ce que le contrat est trop touffu ? Il y a tout un travail à faire devant les tribunaux pour le déterminer », dit-il. 

Un logiciel pisteur inquiétant

Selon nos propres vérifications, un des logiciels pisteurs qui s’activent sur la partie sécurisée du site a été développé par Datalicious, une filiale d’Equifax spécialisée dans l’analyse du comportement d’achat des consommateurs.

Ce logiciel pisteur transmet les données qu’il récolte vers un serveur d’une autre filiale d’Equifax, OptimaHub, qui se targue « d’exceller dans la gestion et la correspondance d’identité ». « Nous faisons correspondre l’adresse physique associée à une vente effectuée hors ligne à une campagne publicitaire en ligne, que nous associons ensuite vers le ménage, puis vers l’identifiant en ligne » d’un utilisateur, affirme OptimaHub sur son site web. 

Une partie du code récupéré par La Presse grâce à une application de développement web indique que le logiciel peut notamment récolter la position GPS, la vitesse de déplacement et l’altitude auxquelles se trouve un utilisateur. 

Il y a des utilisations légitimes de ce genre de données de géopositionnement en publicité, mais dans le contexte où on a affaire à des données aussi confidentielles, c’est difficilement justifiable.

Jean Loup Le Roux, spécialiste de la sécurité informatique

Jose Fernandez, spécialiste de la cybersécurité à Polytechnique Montréal, estime pour sa part que la présence de ces logiciels pisteurs sur le site d’Equifax est « scandaleuse ». « Les banques paient pour ces services afin de rassurer les victimes de fuites de données, et de l’autre côté, [les entreprises comme Equifax] font de l’argent en vendant leurs données à des annonceurs. Ça souligne à quel point ces corporations sont là pour faire des profits, et pas nécessairement pour rendre service aux gens », commente-t-il. 

« La défense de ces entreprises est toujours de dire qu’elles récoltent des données anonymes, constate Maude Bonenfant, titulaire de la Chaire de recherche de recherche du Canada sur les données massives. Mais justement, elles arrivent à en collecter tellement qu’elles n’ont plus besoin de votre nom pour vous cibler ; elles ont votre profil complet. »

Stéphane Hamel, l’auteur du rapport qui a dévoilé la vulnérabilité, y voit quant à lui une immense ironie : « La fuite de données de Desjardins, elle a été provoquée par un ex-employé du marketing peu scrupuleux qui les a versées sur le dark web. Avec Equifax, ce sont les mêmes données qui se trouvent, à la place, entre les mains de plein de compagnies, et ce n’est pas beaucoup mieux », déplore-t-il.