Une « faille » du site d'Equifax pourrait exposer les clients de Desjardins

Le quotidien La Presse rapporte mardi que la partie sécurisée du site d’Equifax comporte des logiciels pisteurs (trackers) qui récoltent des données personnelles de clients de l’agence, ce qui inquiète Desjardins, qui fait affaire avec la firme depuis le vol de données massif dont elle a été victime.

C’est le spécialiste en cybermétrie Stéphane Hamel qui a révélé publiquement, en novembre, dans un rapport, la présence de ces pisteurs chez Equifax.

Quand on est dans la section sécurisée du site, les trackers qui sont utilisés en marketing vont épier notre comportement sur le site web. Ils vont voir quel genre d’information on consulte, qu’est-ce qu’on fait, et potentiellement ils pourraient communiquer des informations qui diraient par exemple : "Notre renouvellement de crédit automobile va arriver au cours des trois prochains mois".

« Le modèle d’affaires d’Equifax, c’est justement de revendre nos informations au sujet de notre crédit, des choses comme ça. On n'a d’ailleurs jamais donné notre consentement pour qu’Equifax utilise ces informations-là et les revende. »

Stéphane Hamel précise que les logiciels pisteurs récoltent des informations en théorie anonymes. Mais ces informations sont ensuite envoyées à des géants du web comme Facebook ou Google, qui les revendent à des annonceurs.

Mais bien que ces données soient anonymes et chiffrées, elles sont tout de même rattachées à un numéro propre à chaque utilisateur. Ce qui laisse planer la possibilité que ces logiciels pisteurs soient utilisés à mauvais escient par des pirates pour remonter à l'identité des clients.

Interrogé par Radio-Canada sur la découverte de ces logiciels pisteurs et les risques qu’ils représentent, le Mouvement Desjardins a expliqué qu’il a rencontré la direction d’Equifax dès le mois de juillet pour présenter notre perspective sur leurs pratiques sur leur site Internet.

Depuis, nous avons continué de relancer Equifax à ce sujet, a indiqué la porte-parole Chantal Corbeil.

Mais, en novembre, le problème n’avait toujours pas été réglé par l’agence de surveillance de crédit, selon le Mouvement Desjardins. Constatant que les changements n’avaient pas été effectués, nous les avons relancés à ce sujet, a affirmé Chantal Corbeil sans donner plus de détails.

C'est définitivement préoccupant, a estimé le ministre québécois des Finances, Eric Girard, lors d'un point de presse à Ottawa après une rencontre avec ses homologues fédéral et provinciaux.

Il a rappelé qu'en vertu du projet de loi 53, déposé au début du mois, l’Autorité des marchés financiers publierait des directives sur les pratiques commerciales et de gestion, et surveillerait les agences de crédit. Donc, c’est certainement des choses qui vont être discutées dans le cadre de l’étude du projet de loi et sa mise en application, a ajouté le ministre Girard.

Des informations qui valent cher

D’un point de vue marketing, ça vaut très, très cher ces informations-là. […] Et ça, on n’a jamais donné notre consentement à la section sécurisée d’un site financier, prévient l'expert en informatique.

N'essayez pas de savoir qui fait ça et avec qui ils partagent ces informations-là. Ce n'est pas divulgué, il n'y a aucune transparence chez Equifax par rapport à cet aspect. On ne peut même pas dire : "Moi, je ne veux pas être tracké", ajoute Stéphane Hamel.

« Ce qui est vraiment ironique dans le cas de Desjardins, c’est que c’est un employé proche du marketing qui faisait de la segmentation de données [qui aurait commis le vol] et on se retrouve chez Equifax avec un potentiel de risque qui est aussi élevé. »

Equifax se défend de vendre les informations qu'elle récolte

De son côté, Equifax défend ses pratiques. Dans un courriel envoyé à Radio-Canada, l'entreprise confirme qu'elle utilise en effet des témoins pour suivre et optimiser l’expérience des consommateurs sur son site Internet.

L'agence de surveillance du crédit assure que cette pratique est réalisée en conformité avec ses conditions d'utilisation et sa politique de confidentialité que tous ses clients peuvent consulter en ligne.

Equifax insiste par ailleurs sur le fait que les données qu'elle récolte avec les pisteurs ne sont pas vendues à des tiers.

« Les données saisies par les témoins ne sont pas liées à une personne et ne sont pas vendues à des tiers. »

Le Mouvement Desjardins dit mettre de la pression sur Equifax pour que la firme corrige la faille.

Photo : Radio-Canada / Ivanoh Demers

Rappelons que le Mouvement Desjardins tente toujours de limiter les dégâts causés par le vol des informations personnelles de 4,2 millions de ses clients en décembre 2018 par un employé mal intentionné.

En juin 2019, Desjardins s’était tourné vers Equifax pour assurer la surveillance des comptes et des cartes de crédit des membres touchés par le vol. Equifax a pour sa part connu d’importants ratés en tentant de traiter ce flot inattendu de clients inquiets en provenance de Desjardins.

Au début de décembre, le Mouvement Desjardins a révélé qu’en plus du vol des données qui pourrait toucher ses 4,2 millions de membres, le ou les voleurs auraient aussi eu accès aux informations personnelles de 1,8 million de détenteurs de cartes de crédit qui ne possédaient aucun compte chez Desjardins.

Equifax, qui offre aux particuliers et aux entreprises des services de surveillance de leur cote de crédit, entre autres pour les protéger d’éventuels fraudeurs, possède dans ses serveurs une grande quantité d’informations personnelles et financières sur ses clients, notamment sur leurs comptes de banque, leurs cartes de crédit et tous leurs emprunts.