Accepteriez-vous de traiter avec une entreprise de systèmes d’alarme qui vous aviserait jusqu’à 30 jours plus tard d’une intrusion dans votre domicile ? Non, évidemment ! Pourtant, c’est ce qu’Equifax vous offre avec son système d’alerte.

Éric Lessard Éric Lessard
Enquêteur et entrepreneur en sécurité de l’information

Au mieux, on vous avisera d’un changement dans votre dossier de crédit, mais après les faits, et ce, jusqu’à 30 jours plus tard dans certains cas. Et bonne chance une fois le problème connu pour rétablir votre pointage de crédit. Selon la Federal Trade Commission américaine, en 2019, c’est en moyenne de 100 à 200 heures que vous passerez à rétablir les choses malgré « l’aide » d’Equifax.

Maintenant, que diriez-vous si votre institution financière vous suivait pas à pas dans votre navigation web et collectait toutes vos allées et venues numériques dans le but de revendre vos données à certains clients commerciaux ? Vous seriez probablement offusqué.

Néanmoins, Equifax le fait, comme l’a fort bien démontré un article de Tristan Péloquin plus tôt cette semaine*.

Pas de scrupules chez Equifax, une donnée, c’est monnayable, même tirée d’un portail sécurisé.

Et si votre dossier de conduite livré annuellement par la SAAQ n’était pas réel ? Que le nombre de points d’inaptitude soit connu des seules forces policières et qu’il vous soit impossible d’avoir accès aux détails réels vous concernant ? Vous seriez en colère, avec raison.

Surprise, Equifax le fait avec votre pointage de crédit !

Le pointage offert à ses abonnés, que vous croyez réel, n’est en fait qu’une estimation fort sommaire et inexacte. L’émission Marketplace de la CBC l’a clairement démontré en octobre dernier. Le réel pointage utilisé lors d’une demande de crédit est nommé le FICO Score. L’entreprise américaine FICO vend son algorithme à Equifax et aux institutions financières. Elle leur interdit contractuellement de transmettre au consommateur les détails du rapport généré. Au mieux une institution « discutera » du résultat avec un client. Pourtant, c’est de votre information qu’il s’agit.

Laisseriez-vous la serrure de votre domicile brisée pendant sept mois, au risque de vous faire voler ? Je ne le crois pas.

En 2017, Equifax l’a fait. Elle a été victime d’un vol de données issues de ses serveurs à la suite d’une vulnérabilité dont elle avait été avisée sept mois plus tôt. Elle a omis d’appliquer une simple mise à jour du manufacturier afin de l’éviter. Cela a permis la subtilisation de plus de 143 millions de dossiers de crédit et généré un nombre incalculable de méfaits en matière de vol d’identité.

Que feriez-vous si vous receviez un courriel de votre institution financière vous invitant à cliquer sur un lien vous demandant de changer le mot de passe de votre compte ? Bien sûr que non, vous savez comment ne pas vous faire prendre ! L’AMF le crie d’ailleurs haut et fort dans les grands médias depuis plusieurs semaines : une institution financière ne communiquera jamais avec vous par courriel.

Mais Equifax le peut, et le fait.

C’est sa manière de communiquer avec vous.

Comment ferez-vous la différence entre le vrai et le faux courriel ?

Il n’y a qu’un pas pour que des malfaiteurs construisent une campagne d’hameçonnage en sachant que plusieurs abonnés Equifax n’y verront que du feu.

Certains tomberont dans le panneau, comme toujours, et dès lors, les criminels auront accès à des dossiers de crédit complets, bien au-delà de vos nom, adresse et numéro d’assurance sociale issus de la fuite chez Desjardins.

Fondée en 1899, Equifax est passée d’une référence incontournable à une entreprise qui mine la crédibilité même du système de gestion du crédit dans la population. En situation de quasi-monopole, elle a été tenue loin des projecteurs législatifs trop longtemps et s’est construit un empire que l’on a jusqu’à tout récemment fort mal compris.

Elle est maintenant un risque pour tous.

Le silence des élus

Qu’en pensent nos élus ?

À les voir, ils ne saisissent pas l’urgence et la profondeur du problème. Ils y voient une approche « par étapes », à tâtons, alors que c’est plutôt une refonte complète de l’encadrement et du traitement de l’information numérique qui est nécessaire.

MM. Legault et Trudeau se sont rencontrés la semaine dernière. Pas un son sur une refonte de la législation en matière de vie privée. Rien sur une mise à jour concernant la protection des données. Silence total sur l’arrivée potentielle d’une identité numérique nationale, question de diminuer les risques de méfaits liés concernant les données qui ont déjà fuité, et encore moins concernant une entité d’une autre époque, qui ne fait finalement rien d’autre que de monnayer le malheur des gens.

Qu’est-ce que l’on ne voit pas dans l’illogisme d’une entreprise à but lucratif qui gère l’information la plus critique de la population ? Une entreprise dont les pratiques sont douteuses, au gré de ses objectifs de revenus et contraires à la saine protection de l’information.

Je suis de ceux qui croient qu’Equifax Canada doit être nationalisée par le gouvernement du Canada en créant un Bureau national du crédit. Seule une entité sous législation renouvelée, au service de la population, pourra rectifier un système qui ne fait juste plus le boulot dans l’univers numérique d’aujourd’hui.

> Lisez « Une vulnérabilité d'Equifax inquiète Desjardins »