Equifax expose les membres de Desjardins à de nouveaux risques

Comme la suite d’un mauvais film d’horreur, le prochain vilain dans la série s’appelle Equifax.

Astuce:
Les utilisateurs de AccèsD ont déjà accès à leur cote de crédit via une intégration très bien effectuée du service de TransUnion, sans même avoir à créer un compte distinct avec ce service.

Quelles sont les pratiques de Desjardins et Equifax en ce qui concerne la collecte de données analytiques et marketing?

Les données ne sont pas inoffensives. Les données ne sont pas abstraites lorsqu’il s’agit de personnes. Ce ne sont pas des données qui sont exploitées, ce sont des personnes qui sont exploitées. Ce ne sont pas les données et les réseaux qui sont influencés et manipulés, c’est vous. — Edward Snowden

Visualisation des tags pour la partir publique du site de Desjardins avec l’outil Disconnect
Visualisation des tags sur la section authentifiée de Equifax.ca

Gouvernance défaillante du côté d’Equifax

Note:
Le programme de divulgation de la vulnérabilité d’Equifax fait appel à la communauté des hackers de HackerOne. HackerOne est une plate-forme utilisée par les pirates informatiques qui aident les entreprises à détecter et à corriger les vulnérabilités critiques avant qu'elles ne puissent être exploitées de manière criminelle.
Lorsqu’avisé des risques liés à l'utilisation de nombreux outils de collecte de données (collecte de données personnelles par inadvertance et injection de code), la réponse a été plutôt laconique:"Although your finding might appear to be a security vulnerability, after reviewing your submission it appears this behavior does not pose a concrete and exploitable risk to the platform on itself.""Un risque pour la plateforme elle-même", alors qu'il devrait être question de risque pour les clients d'Equifax..."...please take a moment to confirm that the reported issues are actually valid and exploitable."Ici, la logique est que le hacker doit démontrer la vulnérabilité, et non à Equifax de s'assurer que le risque n'est pas présent. Une logique inversée qui m'apparaît fort risquée et qui est tout le contraire de l'approche européenne, où les entreprises doivent prouver qu'ils ont tout fait pour prévenir une faille de sécurité ou une fuite de données.

Un problème éthique

La zone sécurisée d’un site financier est un jardin secret où l’utilisation de tags marketing doit être gérée de façon très rigoureuse.

Astuce:
Pour vous protéger, je recommande fortement l'utilisation d'un ad blocker tel AdGuard, disponible sur toutes les plateformes
N’activez pas Flash sur le site de Equifax!
Astuce:
N'activez jamais Adobe Flash lorsque vous visitez un site!

Quelles sont les politiques de confidentialité de Desjardins et Equifax?

LPRPDE — Une zone grise

RGPDL’Europe agit pour le mieux

Site de France 2 — non conforme au RGPD
Site du European Data Protection Supervisor — conforme au RGPD

CCPA — La Californie donne l’exemple

La technologie ITP

Politique de confidentialité

Où sont stockées les données des clients de Desjardins et Equifax?

Des solutions simples et applicables

Limiter la collecte de données et offrir le choix

Les Gouvernements du Québec et du Canada devraient exiger que les entreprises respectent le signal “Do-Not-Track” sous peine d’amendes s’apparentant au mécanisme proposé par le RGPD.

Politique de confidentialité

Les entreprises devraient maintenir une politique de confidentialité à jour indiquant clairement la liste des technologies utilisées (avec lien vers la politique de confidentialité de chacun des fournisseurs), le type de données recueillies, et l’utilisation qui en sera faite.

Conclusion

Strategic advisor, pre-seed investor, analyst, speaker, teacher with a keen interest for privacy and ethical data use.

Strategic advisor, pre-seed investor, analyst, speaker, teacher with a keen interest for privacy and ethical data use.