Actualités

Une «vulnérabilité» d’Equifax inquiète Desjardins

Alors qu’elle subit toujours les contrecoups du vol des données de ses 4,2 millions de membres, la direction de Desjardins s’inquiète maintenant d’une « vulnérabilité » sur le site d’Equifax, liée à la présence de logiciels pisteurs qui récoltent des données personnelles dans la partie sécurisée du service, a appris La Presse.

Mis à jour le 17 déc. 2019

Tristan Péloquin La Presse

La firme Equifax a été mandatée par Desjardins pour aider à protéger les informations bancaires de ses clients. Les trackers qu’on retrouve sur son site web servent à des fins explicites de marketing et de publicité en ligne. L’un d’eux a même la capacité de récolter la position GPS des utilisateurs, selon nos vérifications.

C’est le spécialiste en cybermétrie Stéphane Hamel qui a sonné l’alarme à la mi-novembre, dans un rapport intitulé Equifax expose les clients de Desjardins à de nouveaux risques, publié sur Medium.com. « Desjardins envoie des millions de personnes à Equifax. Je m’inquiète très sérieusement de toutes ces pratiques de marketing et de collecte de données, dit M. Hamel en entrevue avec La Presse.

Equifax ne semble absolument pas avoir des pratiques aussi rigoureuses que celles qu’on trouve sur le site transactionnel de Desjardins », ajoute-t-il.

La direction de Desjardins dit avoir parlé à M. Hamel à la suite de la publication de son rapport, et affirme qu’elle a ensuite rencontré Equifax pour discuter des problèmes qu’il a soulevés.

En novembre dernier, Equifax a affirmé qu’il corrigerait certaines vulnérabilités. Constatant que les changements n’avaient pas été effectués, nous les avons relancés à ce sujet et nous continuons de suivre la situation de près.

Chantal Corbeil, porte-parole de Desjardins

« Je ne peux pas exactement vous dire les vulnérabilités, on ne veut quand même pas exposer Equifax. Mais oui, on sait qu’il y a des trackers, oui, on sait qu’il y a des choses avec le site web, et on a des discussions avec eux », précise M^me Corbeil.

« Ils nous disent qu’ils vont corriger la situation, mais ce n’est pas fait. »

Le service en ligne d’Equifax permet notamment aux utilisateurs de voir leur score de crédit. Il affiche aussi des détails sur l’ensemble des prêteurs à qui une personne a emprunté de l’argent, ainsi que la date d’échéance des prêts ou de contrats de téléphonie cellulaire, par exemple.

Concrètement, ce que M. Hamel a découvert sur le site d’Equifax est une série de logiciels pisteurs (trackers), d’identifiants (cookies) et de gestionnaires de balises (tag managers), qui s’activent dans la section protégée où se trouvent ces informations.

Certains de ces logiciels renvoient de l’information à Facebook, Google, Microsoft et à une dizaine d’autres « agrégateurs », qui les revendent à des annonceurs.

Les données sont en principe complètement anonymisées, mais sont néanmoins rattachées à un numéro d’identifiant unique associé à chaque utilisateur.

La Presse a tenté de savoir précisément ce que récolte Equifax, mais en vain. L’entreprise n’a pas été en mesure de répondre à nos questions lundi. L’information transmise par ces logiciels est chiffrée, pour la rendre illisible aux personnes qui les intercepteraient.

Enregistrer tout ce que l’utilisateur voit

« À partir du moment où un code informatique tiers roule sur une partie sécurisée, il peut voir et enregistrer toutes les données que l’utilisateur voit lui-même sur sa page », indique Jean Loup Le Roux, spécialiste de la sécurité informatique qui a travaillé dans l’univers publicitaire. Ce type de code n’a pas d’affaire sur la partie sécurisée du site. Ça connecte deux univers — le monde du marketing numérique et celui des données financières privées — qui ne devraient pas se parler », dit-il.

Jean-François Renaud, cofondateur de la boîte de marketing numérique Adviso, croit que ces logiciels pisteurs peuvent, par exemple, voir si une personne a un prêt auto qui arrive à échéance. « C’est anonymisé, mais si Equifax est capable de vendre des données qui disent que ces 250 personnes-là ont un niveau très, très élevé de changer d’auto dans les trois mois, parce qu’on sait que leur prêt vient à échéance, c’est une information qui a beaucoup de valeur pour les compagnies qui vendent des autos », explique-t-il.

M. Renaud se dit plus ou moins inquiet des découvertes de M. Hamel. « C’est vrai qu’il y a des tags pour vendre de la donnée publicitaire, mais il n’y a là rien de très surprenant : le modèle d’affaires d’Equifax tourne autour de la collecte de données », commente-t-il.

Mais pour le professeur Nicolas Vermeys, spécialiste du droit des technologies de l’information à l’Université de Montréal, la présence de ces logiciels pisteurs sur le site d’Equifax pose « clairement un problème de vie privée ». « L’expectative de vie privée est plus importante sur un site comme celui d’Equifax qu’ailleurs sur le web. Maintenant, il faut voir ce que dit le contrat qu’on accepte lorsqu’on s’inscrit au service. On l’accepte tous sans trop regarder parce qu’on n’a pas vraiment d’autre choix. Est-ce qu’il y a des clauses abusives ? Est-ce que le contrat est trop touffu ? Il y a tout un travail à faire devant les tribunaux pour le déterminer », dit-il.

Un logiciel pisteur inquiétant

Selon nos propres vérifications, un des logiciels pisteurs qui s’activent sur la partie sécurisée du site a été développé par Datalicious, une filiale d’Equifax spécialisée dans l’analyse du comportement d’achat des consommateurs.

Ce logiciel pisteur transmet les données qu’il récolte vers un serveur d’une autre filiale d’Equifax, OptimaHub, qui se targue « d’exceller dans la gestion et la correspondance d’identité ». « Nous faisons correspondre l’adresse physique associée à une vente effectuée hors ligne à une campagne publicitaire en ligne, que nous associons ensuite vers le ménage, puis vers l’identifiant en ligne » d’un utilisateur, affirme OptimaHub sur son site web.

Une partie du code récupéré par La Presse grâce à une application de développement web indique que le logiciel peut notamment récolter la position GPS, la vitesse de déplacement et l’altitude auxquelles se trouve un utilisateur.

Il y a des utilisations légitimes de ce genre de données de géopositionnement en publicité, mais dans le contexte où on a affaire à des données aussi confidentielles, c’est difficilement justifiable.

Jean Loup Le Roux, spécialiste de la sécurité informatique

Jose Fernandez, spécialiste de la cybersécurité à Polytechnique Montréal, estime pour sa part que la présence de ces logiciels pisteurs sur le site d’Equifax est « scandaleuse ». « Les banques paient pour ces services afin de rassurer les victimes de fuites de données, et de l’autre côté, [les entreprises comme Equifax] font de l’argent en vendant leurs données à des annonceurs. Ça souligne à quel point ces corporations sont là pour faire des profits, et pas nécessairement pour rendre service aux gens », commente-t-il.

« La défense de ces entreprises est toujours de dire qu’elles récoltent des données anonymes, constate Maude Bonenfant, titulaire de la Chaire de recherche de recherche du Canada sur les données massives. Mais justement, elles arrivent à en collecter tellement qu’elles n’ont plus besoin de votre nom pour vous cibler ; elles ont votre profil complet. »

Stéphane Hamel, l’auteur du rapport qui a dévoilé la vulnérabilité, y voit quant à lui une immense ironie : « La fuite de données de Desjardins, elle a été provoquée par un ex-employé du marketing peu scrupuleux qui les a versées sur le dark web. Avec Equifax, ce sont les mêmes données qui se trouvent, à la place, entre les mains de plein de compagnies, et ce n’est pas beaucoup mieux », déplore-t-il.

Actualités En continu

Justice et faits divers

Le corps du Québécois mort à Cuba a été retrouvé en Russie

Le corps de Faraj Allah Jarjour, le québécois mort à Cuba en mars dernier, a enfin été retrouvé jeudi en Russie, où il est enterré. Une maigre victoire, selon sa fille endeuillée, pour qui « ce n’est pas normal, qu’il soit en Russie ».

Publié à 18h24
Politique

La ministre du Tourisme satisfaite de l’efficacité de la loi contre les Airbnb

Bien qu’il y ait toujours des centaines d’annonces illégales de logements offerts aux touristes sur la plateforme Airbnb au Québec, la ministre du Tourisme, Caroline Proulx, se dit satisfaite de l’efficacité de sa nouvelle loi qui visait à mettre de l’ordre dans ce marché.

Publié à 18h23
Actualités

La Société d’habitation du Québec a dû donner pour 2 millions de contrats externes

(Québec) En raison de la pénurie de main-d’œuvre, la Société d’habitation du Québec (SHQ), qui relève de la ministre de l’Habitation, France-Élaine Duranceau, a dû donner pour 2 millions de contrats externes pour l’exercice financier 2023-2024.

Publié à 17h48
Circulation

Congestions anticipées De nombreux secteurs à éviter sur la route ce week-end

Le pont de l’Île-aux-Tourtes et l’autoroute 40 seront à éviter ce week-end, le ministère des Transports y prévoyant des entraves routières majeures. Le pont Papineau-Leblanc et une portion de l’autoroute 19 seront également fermés en raison de travaux en cours.

Publié à 17h37
00:56

Sciences

Un vaisseau spatial chinois « arrimé avec succès » à la station spatiale Tiangong

(Jiuquan) Un vaisseau spatial chinois s’est « arrimé avec succès » vendredi à la station spatiale Tiangong, ont annoncé les médias d’État chinois, dans le cadre d’un programme visant à envoyer des astronautes sur la Lune d’ici à 2030.

Publié à 11h02 Mis à jour à 17h26
Justice et faits divers

Fraudes de type faux représentants Deux hommes arrêtés à Laval, d’autres victimes recherchées

Deux hommes ont été arrêtés en lien avec plusieurs dossiers de fraudes de type faux représentant survenu sur le territoire lavallois. Les suspects pourraient avoir fait d’autres victimes, pensent les enquêteurs.

Publié à 17h18
Politique

Le port du keffieh sous la loupe

(Ottawa) « Sarah Jama, vous devez quitter la Chambre ». Pour cause de port de keffieh, le président de l’Assemblée législative ontarienne Ted Arnott a demandé l’expulsion de la députée.

Publié à 17h05
Environnement

États-Unis Des limites d’émissions de CO₂ pour les centrales à charbon imposées dès 2032

(Washington) Le gouvernement de Joe Biden a annoncé jeudi imposer à partir de 2032 de très strictes limites aux émissions de CO₂ des centrales à charbon prévoyant de rester encore longtemps en marche, une mesure qui doit aider les États-Unis à tenir leurs engagements climatiques.

Publié à 6h53 Mis à jour à 16h42
Justice et faits divers

Tuerie à Ottawa L’enquête préliminaire du jeune accusé aura lieu en mai

(Ottawa) L’enquête préliminaire aura lieu à la mi-mai pour le jeune homme de 19 ans accusé du meurtre de membres d’une famille chez qui il vivait dans un quartier résidentiel d’Ottawa.

Publié à 16h32
Actualités

Arsenic dans l’air La Fonderie Horne améliore son bilan, qui reste toutefois trop élevé

La Fonderie Horne a indiqué que la moyenne annuelle en arsenic dans l’air ambiant à la station légale Horne, située sur sa propriété, est de 45 nanogrammes (ng) par mètre cube (m³) pour l’année 2023. Cette moyenne est 15 fois plus élevée que la norme environnementale, mais elle constitue une amélioration comparativement aux années précédentes.

Publié à 14h05 Mis à jour à 15h22
Justice et faits divers

Chaudière-Appalaches La SQ enquête sur la mort d’une septuagénaire à Montmagny

(Montréal) Les policiers de la Sûreté du Québec (SQ) enquêtent sur le décès d’une femme de 78 ans survenu à Montmagny, dans la région de Chaudière-Appalaches.

Publié à 15h19
Grand Montréal

Report des antennes du REM « On va aller le plus vite qu’on peut »

CDPQ Infra assure que ses équipes iront « le plus vite » possible pour minimiser le report à 2025 des antennes nord et ouest du Réseau express métropolitain (REM). Ouvrir d’autres tronçons sans les lier au tunnel Mont-Royal n’aurait eu « aucun sens », selon son président.

Publié à 15h16
Santé

Le CIQ recommande de ne pas devancer la vaccination contre la rougeole

Une éclosion de rougeole frappe actuellement le Québec et les bébés de moins d’un an sont parmi les plus vulnérables comme ils ne sont pas vaccinés. Le Comité sur l’immunisation du Québec (CIQ) conseille toutefois au ministère de la Santé de ne pas devancer l’âge de la vaccination puisque cela risque de compromettre l’immunité collective.

Publié à 12h56 Mis à jour à 15h02
Politique

Lutte aux changements climatiques Près 3 milliards de dépenses sans indicateurs sur « les effets escomptés »

(Québec) Le Fonds vert a versé près de 3 milliards de dollars pour financer des initiatives de lutte aux changements climatiques, sans avoir d’indicateurs pour connaître leur effet, révèle la commissaire au développement durable.

Publié à 15h00
Politique

La crise du logement aurait été moins grave avec le NPD au pouvoir, juge Jagmeet Singh

(Montréal) Si le NPD avait été au pouvoir dans les dernières années, la crise du logement aurait été moins grave qu’elle l’est présentement. « Pas de doute » à ce sujet, assure son chef, Jagmeet Singh.

Publié à 14h37
01:11

Politique

Déficit dans le transport collectif « Facile de quêter à Québec » pour les maires, selon Legault

(Québec) Après s’en être pris au « lobby des villes », François Legault affirme que pour les maires, il est « plus facile de quêter à Québec » que de « faire le ménage dans leurs dépenses ». Le premier ministre a défendu sa ministre Geneviève Guilbault, critiquée de toutes parts.

Publié à 12h18 Mis à jour à 14h33