Tout en assurant ne vendre aucune des informations qu’elle récolte auprès des clients de Desjardins qui consultent leur dossier de crédit en ligne, Equifax admet avoir retiré de son site web, en décembre, un logiciel pisteur (tracker) capable de récolter la position géographique des utilisateurs. 

La Presse a révélé à la mi-décembre que certains logiciels pisteurs trouvés dans la partie privée du site d’Equifax préoccupaient Desjardins, qui y voyait une potentielle « vulnérabilité ». 

C’est le spécialiste en cybermétrie Stéphane Hamel qui a sonné l’alarme. Son rapport affirmait que ces logiciels pisteurs, présents sur le site d’Equifax à des fins publicitaires explicites, transmettaient des données à Facebook et à Google, notamment. Nos propres recherches avaient révélé la présence d’un logiciel pisteur appelé OptimaHub, dont le code transmettait des données à une filiale d’Equifax spécialisée dans le ciblage publicitaire en ligne. 

Equifax, firme mandatée par Desjardins pour protéger ses 4,2 millions de membres touchés par l’immense fuite de données, avait refusé de répondre à nos questions au sujet de ce tracker en particulier. Le code informatique du logiciel d’OptimaHub suggère qu’il est capable de récolter la position GPS, la vitesse de déplacement et l’altitude des utilisateurs. Ceux-ci l’activent en se connectant sur le site.

« Éviter toute préoccupation »

Dans une déclaration transmise hier, Equifax dit avoir retiré le logiciel pisteur à la suite de la publication de notre article. « Une partie du code a la capacité de recueillir de l’information de localisation, a reconnu Equifax, mais cette fonctionnalité a été désactivée pendant toute sa présence et n’a jamais recueilli de telles informations. Nous pouvons comprendre qu’une personne lisant le code, mais ne pouvant pas voir l’activité réelle qui se produit, puisse supposer que ces données sont collectées. Par conséquent, nous éliminerons cette partie du code lorsque la prochaine version du tag sera disponible afin d’éviter toute préoccupation éventuelle. »

Dans une autre déclaration transmise plus tôt, Equifax a affirmé avoir « examiné [ses] pratiques en matière d’usage de témoins sur [son] site web » à la suite de la publication de notre article. 

En aucun temps nous ne collectons ni ne vendons d’informations personnelles des consommateurs par l’entremise de témoins, marqueurs ou d’outils similaires sur notre site web.

Extrait de la déclaration d’Equifax

L’entreprise américaine reconnaît toutefois récolter des données concernant les pages web visitées par les clients sur son site web, la durée de la visite, la date et l’heure de la visite ainsi que des renseignements sur la décision des internautes d’acheter ou non des produits proposés par Equifax. Ces données demeurent anonymes. « Aucun témoin ne collecte de renseignements personnels, que ce soit par l’entremise de captures d’écran ou autres », dit l’entreprise. 

Equifax dit aussi avoir cessé d’utiliser un témoin (cookie) qui transmettait des informations à Facebook à partir de la section réservée aux membres. « Le but de ce cookie était d’identifier les visiteurs du site internet inscrits à nos services pour éviter de leur présenter des publicités. »

Desjardins satisfaite

Desjardins se dit satisfaite de la vérification menée par Equifax. « Ils nous assurent que ces données ne sont pas vendues à des tiers », a fait savoir la porte-parole Chantal Corbeil. 

« On les croit sur parole, c’est notre partenaire », a-t-elle ajouté. 

Pour le spécialiste en cybermétrie Stéphane Hamel, Equifax joue cependant sur les mots. « Ils admettent récolter les données, mais disent ne pas les vendre. Dans les faits, en transmettant ces données à des tiers comme Facebook, ils contribuent à enrichir leurs bases de données, et les données servent ensuite à rendre des campagnes de marketing plus efficaces », dit-il. 

M. Hamel maintient que ce genre de logiciel pisteur n’a pas sa place dans la section protégée d’un site contenant des informations financières aussi personnelles que celles affichées par Equifax. 

Ils ne font aucune différence entre la partie publique et la partie privée du site. Il ne devrait tout simplement pas y avoir autant de trackers et de balises de suivi à cet endroit du site.

Stéphane Hamel, spécialiste en cybermétrie

Le fait qu’Equifax ait par ailleurs retiré certains logiciels pisteurs de son site à la suite de la publication de son rapport et de la couverture médiatique qui s’en est suivie témoigne « qu’ils n’ont même pas de bonne gouvernance en place » pour déceler eux-mêmes les problèmes potentiels des technologies utilisées. 

Jean Loup Le Roux, spécialiste en sécurité informatique, estime quant à lui que les déclarations d’Equifax « contredisent les évidences techniques ». « Quand on regarde le code informatique qui s’exécute sur le site, on constate qu’ils ont techniquement la capacité de transmettre à des tiers l’information qui se trouve sur le site. Est-ce qu’ils le font ? Peut-être pas, mais doit-on croire Equifax sur parole ? Compte tenu de l’historique de protection de la vie privée de cette entreprise, je pense que non », dit M. Le Roux.

« C’est une question de niveau d’assurance. Si on veut assurer aux gens que le site ne récolte et ne vend pas de telles données, on ne met tout simplement pas ce genre de tracker dès la conception du site », dit-il.