Image for post
Image for post

Equifax expose les membres de Desjardins à de nouveaux risques

Comme la suite d’un mauvais film d’horreur, le prochain vilain dans la série s’appelle Equifax.

À titre d’expert en cybermétrique (digital analytics) ayant un fort intérêt pour l’utilisation éthique des données et le respect de la vie privée, je me suis penché sur la situation de Desjardins, mais surtout sur celle d’Equifax, qui m’apparaît aujourd’hui clairement comme étant le maillon faible.

Depuis l’annonce de la fuite de données historique, le 20 juin dernier, causée par un conseiller de Desjardins oeuvrant en marketing, l’entreprise a eu à faire face à une série d’événements aux graves conséquences pour l’ensemble de ses 4.2 millions de membres. Face aux craintes justifiées de sa clientèle, Desjardins n’a eu d’autre choix que de proposer les services de surveillance de crédit d’Equifax, et ce, pendant 5 ans.

Malgré les critiques de certains, j’estime que Desjardins a très bien agi et est à bien des égards un modèle de gestion de la sécurité et de la gestion de crise. Il faut le souligner à nouveau: Desjardins n’avait d’autre choix que de pousser ses clients vers Equifax. Aucune alternative n’existe actuellement — peut-être jusqu’à ce que le gouvernement s’attaque à la fois à un mécanisme d’authentification sécuritaire et prenne en charge la surveillance de crédit, un peu comme en Europe?

Comme un effet de cascade, plusieurs problèmes ont émergé du côté d’Equifax: capacité déficiente, service francophone limité, confusion… Pour les initiés du web, le design et la convivialité du service Equifax sont un modèle d’anachronisme… Ses pratiques de développement et de communication sont loin de ce qui se fait de mieux. Pour un expert en cybermétrie, les pratiques de collecte de données d’Equifax sont douteuses et les risques d’exploitation abusive des données sont bien réels.

Le 21 novembre, Desjardins, Equifax, l’Autorité des marchés financiers, la Sûreté du Québec, l’Association des banquiers canadiens et le directeur scientifique du Réseau intégré sur la cybersécurité sont convoqués pour répondre aux questions de nos élus.

Au Canada, seuls Equifax et TransUnion offrent des services d’évaluation de crédit et de surveillance. Le choix de Desjardins d’aller vers Equifax était avant tout une décision basée sur la part de marché de celle-ci. Pour que le système de surveillance fonctionne, il faut que les prêteurs l’alimentent avec un flot constant de nouvelles informations fiables. Il y a tout de même deux problèmes majeurs:

Ces deux firmes sont régies par l’Agence de la consommation en matière financière du Canada (ACFC), donc, de juridiction fédérale. À moins de coordination à ce niveau, le gouvernement du Québec risque d’avoir bien peu de leviers face à ces géants financiers.

Astuce:
Les utilisateurs de AccèsD ont déjà accès à leur cote de crédit via une intégration très bien effectuée du service de TransUnion, sans même avoir à créer un compte distinct avec ce service.

N’oublions pas qu’Equifax est une entreprise américaine privée oeuvrant dans 24 pays. En 2017 elle a eu à faire face à une fuite de données de près de 150 millions de profils, dont 19,000 canadiens, non pas causé par un employé malveillant, mais bien par ses pratiques défaillantes en matière de sécurité. Un an après la fuite, plusieurs problèmes demeuraient non résolus et aujourd’hui, on est en droit de se poser des questions sur leurs pratiques de sécurité et de marketing.

Quelles sont les pratiques de Desjardins et Equifax en ce qui concerne la collecte de données analytiques et marketing?

Une gestion serrée de la collecte de donnée marketing est un élément essentiel de la protection des renseignements personnels. Malheureusement, le maillon le plus faible est très souvent l’humain. Sans gouvernance appropriée, il est évident que le risque de catastrophe est décuplé.

Dans le cas de Desjardins, la fuite a été causée par un employé oeuvrant en marketing dont la tâche était de créer ce qu’on appelle dans le jargon des “segments” — des clientèles répondant à certains critères et qui seront ensuite ciblés par des publicités.

Dans la majorité des organisations, l’équipe marketing jouit aujourd’hui d’une très grande autonomie dans l’utilisation des technologies de marketing moderne. Les experts en développement informatique et en sécurité des infrastructures, ceux-là mêmes dont la formation et la mission est d’assurer la sécurité, sont trop souvent mis à l’écart, considérés comme des trouble-fête lents et limitatifs face à la vitesse à laquelle évolue le marketing. En plus, les équipes marketing travaillent avec de nombreuses agences qui, chacune de leur côté, introduisent progressivement un nombre effarent de technologies au coeur même des zones les plus sensibles des sites web. S’en suivent des partages de données faites à la va-vite, des accès non documentés qui restent ouverts après le départ des employés, et trop souvent du personnel peu expérimenté et sans la moindre sensibilisation à la protection des données.

Vous comprenez le concept — vous visitez un site puis vous êtes bombardés de pubs de ce produit pour les jours et les semaines à venir… Qu’on les appelle tags, pixels, trackers ou cookies, ceci est possible grâce aux réseaux publicitaires qui vous traquent de si près qu’ils bâtissent un profil de plus en plus complet de qui vous êtes, ce que vous faites, aimez, pensez… À tout le moins, ce que ces systèmes et modèles prédictifs croient connaître de vous, sans vous demander la permission, sans droit de regard, sans possibilité de correction ou de retrait…

Les données ne sont pas inoffensives. Les données ne sont pas abstraites lorsqu’il s’agit de personnes. Ce ne sont pas des données qui sont exploitées, ce sont des personnes qui sont exploitées. Ce ne sont pas les données et les réseaux qui sont influencés et manipulés, c’est vous. — Edward Snowden

Pour avoir oeuvré moi-même de près avec les équipes marketing et analytiques de Desjardins, je sais qu’ils ont des politiques très strictes et rigoureuses en ce qui concerne ce type de collecte de données.

En fait, l’écosystème publicitaire est devenu si complexe que les entreprises utilisent désormais des gestionnaires de tags afin d’orchestrer “quand” et “comment” votre comportement sera dévoilé à des tiers publicitaires.

Voici un portrait comparatif des trackers utilisés par Desjardins et Equifax:

Image for post
Image for post
Visualisation des tags pour la partir publique du site de Desjardins avec l’outil Disconnect

Les joueurs majeurs du côté de Desjardins sont Google Tag Manager, un gestionnaire de tags, avec Google Analytics, et quelques trackers, dont celui de Facebook et Qualtrics.

Image for post
Image for post
Visualisation des tags sur la section authentifiée de Equifax.ca

Pour Équifax? La présence de deux gestionnaires de tags — Ensighten et Google Tag Manager — est souvent un indice de problème de gouvernance potentiel. Ensighten étant moins fréquent, les agences demandent souvent l’intégration de Google Tag Manager et prennent ainsi, littéralement, le contrôle du site en ayant la possibilité d’injecter ce qu’ils veulent. L’outil principal du côté analytique est Adobe Analytics, mais il y a aussi Google Analytics. Il y a ensuite une multitude de trackers: DoubleClick, Facebook, Microsoft Bing, Demdex, AppNexus, Tapad, eXelate, MediaIQ, Datalicious, VisualIQ, UserZoom, TribalFusion et plus encore… Tapad et Demdex sont eux-mêmes des agrégateurs qui revendent les données.

La différence est assez flagrante. Deux facteurs expliquent ceci:

Une validation rapide des sites de la Banque Royale et de la CIBC indique un nombre de trackers semblable à celui de Desjardins — tant pour la section publique que privée, loin de la situation d’Equifax.

Dès qu’une membre atteint la page d’authentification de AccèsD, seul le suivi avec Google Analytics est présent. Desjardins, en conformité avec les termes d’utilisation du service, n’achemine aucune information personnelle à Google, mais passe tout de même un identifiant d’utilisateur unique — une pratique courante (mais considéré info personnelle en Europe, sous RGPD). Ce sont ces informations sur votre comportement collecté par Google Analytics, puis celles que Desjardins possède à votre sujet, jumelés grâce à cet identifiant unique, qui deviennent des armes puissantes dans l’arsenal du marketing.

Dans certains cas précis, par exemple lorsqu’une campagne marketing de Desjardins se conclue par un point de conversion dans la zone sécurisé du site, un tag spécifique pourra être déclenché (par exemple, un pixel Facebook d’audience personnalisé). Puisque l’objectif marketing a été atteint, ce tracking bien précis aura pour effet de cesser de présenter la publicité à ce client ciblé. Cette pratique est courante dans l’écosystème marketing moderne et une utilisation tout à fait adéquate et éthique de ce type de technologie. Chapeau à Desjardins!

Gouvernance défaillante du côté d’Equifax

Par contraste, Equifax ne fait aucune distinction entre la zone d’information publique et la section très sensible que représente votre score de crédit, vos alertes et les détails de vos hypothèques, emprunts, cartes de crédit, comptes de banque, nombre d’enquêtes effectuées sur vous — bref, des informations hautement confidentielles et sensibles.

Ainsi, non seulement Equifax achemine un identifiant unique à l’outil Adobe Analytics, mais Facebook est également en mesure de savoir exactement qui vous êtes grâce au lien entre votre identité Facebook et ce fameux pixel qui vous traque sur tous les sites qui incluent cette technologie — au bas mot 2.6M de sites, dont plus de 14,000 au Canada. Une bonne douzaine d’autres réseaux publicitaires recevront autant de signaux permettant de raffiner un pseudo-profil qui vous représente, pour ensuite le vendre au plus offrant.

Outre la collecte d’informations personnelles par inadvertance, une situation implicite à tout les types de tracking, il y a aussi le risque inhérent que constitue l’inclusion de code provenant d’une tierce partie.

Note:
Le programme de divulgation de la vulnérabilité d’Equifax fait appel à la communauté des hackers de HackerOne. HackerOne est une plate-forme utilisée par les pirates informatiques qui aident les entreprises à détecter et à corriger les vulnérabilités critiques avant qu'elles ne puissent être exploitées de manière criminelle.
Lorsqu’avisé des risques liés à l'utilisation de nombreux outils de collecte de données (collecte de données personnelles par inadvertance et injection de code), la réponse a été plutôt laconique:"Although your finding might appear to be a security vulnerability, after reviewing your submission it appears this behavior does not pose a concrete and exploitable risk to the platform on itself.""Un risque pour la plateforme elle-même", alors qu'il devrait être question de risque pour les clients d'Equifax..."...please take a moment to confirm that the reported issues are actually valid and exploitable."Ici, la logique est que le hacker doit démontrer la vulnérabilité, et non à Equifax de s'assurer que le risque n'est pas présent. Une logique inversée qui m'apparaît fort risquée et qui est tout le contraire de l'approche européenne, où les entreprises doivent prouver qu'ils ont tout fait pour prévenir une faille de sécurité ou une fuite de données.

Un problème éthique

Dans la communauté d’analystes, le consensus est très large:

La zone sécurisée d’un site financier est un jardin secret où l’utilisation de tags marketing doit être gérée de façon très rigoureuse.

Sur le spectre entre “ne rien tracker” et “tracker sans discrimination”, Desjardins se trouve dans un juste milieu, alors qu’Equifax est clairement dans la zone dangereuse du tracking à outrance et du manque de jugement qui conduira inévitablement vers une catastrophe.

Nombres de trackers sur la partie publique du site:

Nombres de trackers dans la partie authentifiée du site:

Astuce:
Pour vous protéger, je recommande fortement l'utilisation d'un ad blocker tel AdGuard, disponible sur toutes les plateformes

À titre de démonstration du laisser-aller de l’équipe responsable du site web d’Equifax, il est pertinent de souligner que la technologie Adobe Flash est toujours utilisée. Cette technologie inclut en ce moment même des vulnérabilités importantes pouvant exposer les informations des utilisateurs. La plupart des fureteurs désactivent Flash justement pour cette raison et il sera mis officiellement au rencard à la fin de 2020.

D’ailleurs, même Adobe recommande de passer dès maintenant à des technologies plus récentes…

Image for post
Image for post
N’activez pas Flash sur le site de Equifax!
Astuce:
N'activez jamais Adobe Flash lorsque vous visitez un site!

Quelles sont les politiques de confidentialité de Desjardins et Equifax?

Regardons d’abord les différents cadres légaux et technologiques de ce côté.

LPRPDE — Une zone grise

Sans être juriste, LPRPDE — Loi sur la protection des renseignements personnels et les documents électroniques, ne touche que la collecte de renseignements personnels. Puisque les réseaux publicitaires ne collectent pas de tels renseignements, celle-ci ne s’applique pas. De plus, au Québec, nous avons l’équivalent, la Loi sur la protection des renseignements personnels dans le secteur privé, mais elle est tout aussi silencieuse sur les cas où un pseudo-profil est constitué sans consentement, sans droit de regard, sans possibilité de correction, et sans possibilité de retrait.

RGPDL’Europe agit pour le mieux

En Europe, le Règlement général sur la protection des données (RGPD) exige d’abord une raison et un but précis pour justifier la collecte de données, et le citoyen doit donner son autorisation (“opt-in”) avant que la moindre donnée ne soit collectée. Que ce soit pour des fins d’analyse du comportement en vue d’optimiser le site et l’expérience client elle-même (par exemple, Google Analytics et Adobe Analytics), ou pour des fins marketing (la plupart des autres trackers), le citoyen doit donner son consentement.

Image for post
Image for post
Site de France 2 — non conforme au RGPD
Image for post
Image for post
Site du European Data Protection Supervisor — conforme au RGPD

L’intention est louable, l’application est difficile et le résultat est plutôt mitigé. D’une part, les entreprises se trouvent privées de données utiles, d’autre part l’expérience utilisateur se trouve entravée, et finalement, il y a énormément de confusion et les avocats ont découvert une mine d’or. Une partie du problème vient des outils de conformité, de surveillance et de validation, qui ne fonctionnent pas bien et manquent de flexibilité.

CCPA — La Californie donne l’exemple

Le dernier venu du côté légal est le California Consumer Privacy Act (CCPA). L’émergence de logiciels de filtrage (ad blockers) a ouvert la voie à une prise de conscience des problèmes de confidentialité associés à l’existence de courtiers de données et d’obscures technologies de tracking. Ce n’est pas un hasard si la plupart des agrégateurs sont des entreprises américaines. Peut-être n’est-ce qu’une coincidence (ou pas!), mais la plupart des ad blockers sont européens.

D’une certaine façon, CCPA n’est qu’une mauvaise copie du RGPD, une évolution intéressante qui sera sans doute diluée par les lobbies avant de devenir une loi:

De telles contraintes vont pousser les entreprises à délaisser la collecte de données via des tiers (les réseaux publicitaires) et se tourner beaucoup plus vers les données primaires. Il y aura des incitatifs vers l’authentification pour obtenir certains renseignements ou services.

La technologie ITP

Le concept de respect au droit à la vie privée des utilisateurs existe depuis longtemps, mais était loin d’être un requis légal. Le “Do-Not-Track” a été proposé dès 2007 et intégré à tous les fureteurs, mais largement ignoré par ceux qui collectent les données. Comme son nom l’indique, le concept est de signifier à un tracker le souhait de ne pas être suivi.

Le Intelligent Tracking Prevention est une nouvelle technologie qui viendra encadrer, de façon technique, les abus les plus évidents de la part des grands agrégateurs. Le concept de ITP est de bloquer les fichiers témoins provenant de tiers et de sérieusement limiter la durée de vie de tous les cookies et le passage d’identifiants entre sites. Il ne faut toutefois pas se faire d’illusions — tous les grands joueurs travaillent fort afin de contourner ces nouvelles contraintes. Un véritable jeu du chat et de la souris est en cours… on ajoute de l’opacité pour éviter d’être détecté.

Politique de confidentialité

La politique de confidentialité de Desjardins pour le site web est expliquée clairement, mais ne donne pas d’indice sur quelles sont exactement les technologies utilisées, les données collectées et leur utilisation spécifique. La version pour l’application mobile est un peu plus détaillée.

Image for post
Image for post

Desjardins, sans offrir un “opt-out”, pointe tout de même vers des ressources pour aider les utilisateurs à limiter le tracking. De son côté, l’application mobile ne permet pas d’éliminer complètement le tracking, mais peut être configurée pour ne pas envoyer l’identifiant utilisateur.

La politique de Equifax est opaque, utilise un jargon légal, et ne fait absolument aucune mention de l’utilisation d’outils analytiques ou de marketing. Évidemment, Equifax ne fait pas la moindre mention de moyens pour se retirer du tracking.

Ici, on ne fait évidemment pas référence à ce qui constitue le coeur des services et est essentiel au fonctionnement de Desjardins et de Equifax — seulement les données analytiques et marketing qui ne nuiraient en rien au fonctionnement du site web et de l’entreprise si elles n’étaient pas là.

Entre l’approche stricte du RGDP en Europe, le bordel actuel du marché américain et le laisser-aller du Canada, il doit y avoir une solution équilibrée.

Clarté de la politique de vie privée:

Où sont stockées les données des clients de Desjardins et Equifax?

La crise de Desjardins est survenue à un bien mauvais moment pour le gouvernement du Québec, qui envisage de consolider ses centres de données dans les services infonuagiques. Sans vouloir ajouter à ce débat distinct, certains se sont élevés contre l’idée d’envoyer autant de données sensibles aux États-Unis. Pourtant, les données les plus sensibles de près de la moitié des citoyens québécois se voient déjà dans les mains d’une entreprise privée américaine.

Hébergement et stockage de données:

Des solutions simples et applicables

Face à ces enjeux, voici quelques pistes de solution, dont certaines inspirées de la renommée Electronic Frontier Foundation.

Limiter la collecte de données et offrir le choix

De prime abord, il pourrait être tentant d’emboîter au CCPA et exiger qu’il y ait la possibilité de faire un “opt-out” de tout tracking non essentiel aux opérations. Toutefois, cette solution conduit inévitablement à un faux sentiment de sécurité puisque pour y arriver, un cookie ou une autre méthode de stockage local doit pouvoir conserver cette préférence de l’utilisateur. Il suffit alors que l’utilisateur efface ses cookies, utilise un autre fureteur, ou un autre ordinateur pour que le tracking soit de retour par défaut. De plus, la venue de ITP rend cette approche encore moins appropriée.

Le “opt-in” au RGPD semble alors la seule option valable du point de vue utilisateur, mais nuit à l’expérience et pour les entreprises, a généralement un impact énorme sur le volume de données et rend peu fiables les analyses.

Pourtant, la notion de “Do-Not-Track” a été conçue exactement à cette fin: sous le contrôle de l’utilisateur et simple à activer, les entreprises devraient tout simplement avoir l’obligation légale de respecter ce choix de leurs visiteurs. Malheureusement, ce concept a été jusqu’à maintenant ignoré par les grands joueurs de l’industrie parce qu’aucune conséquence n’y était rattachée.

Les Gouvernements du Québec et du Canada devraient exiger que les entreprises respectent le signal “Do-Not-Track” sous peine d’amendes s’apparentant au mécanisme proposé par le RGPD.

À défaut de quoi, l’utilisation d’un ad blocker puissant devient le seul pouvoir pour les utilisateurs soucieux du respect de leur vie privée. Un “opt-out” automatique de tout par défaut pouvant être relaxé sur les sites où l’utilisateur le souhaite.

Politique de confidentialité

La politique de confidentialité devrait inclure la liste des technologies utilisées (fournisseurs), le type de données recueillies, et l’utilisation qui en sera faite. Le maintien de ces informations s’est avéré fastidieux et souvent décalé par rapport à la réalité, mais il n’y a plus d’excuse.

Plusieurs services permettent non seulement de gérer les politiques de confidentialité et les termes d’utilisation, ils offrent aussi la logique de gestion des opt-in/opt-out et la conformité au RGPD, ainsi que l’analyse automatisée des sites afin de relever la liste des technologies qui s’y trouvent.

Un tel service est iubenda, que j’utilise et recommande pour sa simplicité d’utilisation, son coût et la richesse de ses services.

En fait, avec la venue du RGPD et de CCPA, une foule d’entreprises se sont penchées sur le défi que représente la conformité. Certains services se concentrent sur la partie “audit”, par exemple, CookieBot, une startup du Danemark avec qui je collabore, permets de relever tous les cookies utilisés et produis un rapport indiquant qui est derrière et d’autres renseignements utiles.

Les entreprises devraient maintenir une politique de confidentialité à jour indiquant clairement la liste des technologies utilisées (avec lien vers la politique de confidentialité de chacun des fournisseurs), le type de données recueillies, et l’utilisation qui en sera faite.

Conclusion

D’un côté, Desjardins fait clairement tout ce qui est en son pouvoir afin d’offrir des services fiables et sécuritaires à ses membres. Des mesures ont été mises en place, une armée de spécialistes en sécurité est à l’oeuvre, et l’entreprise continue d’éduquer sa clientèle et de collaborer avec les autorités.

De son côté, bien qu’il ne soit nullement question de comportement illégal, Equifax approche la collecte de données marketing avec une désinvolture désarmante. Cette négligence est également reflétée par l’obsolescence du site et l’utilisation de technologies archaïques.

Voir son comportement sur Equifax être scruté à la loupe par plus d’une douzaine d’entreprises tierces et être la cible de publicités est une chose relativement anodine… jusqu’à ce qu’une faille technique ou un employé malveillant ne cause un autre désastre. Il ne faut pas oublier que l’employé qui a causé des millions de dollars de dommage à Desjardins et un risque important à des millions de citoyens pour les années à venir oeuvrait justement dans le domaine du marketing. Exactement le même créneau auquel Equifax expose actuellement, et inutilement, ces mêmes millions de clients...

Au delà des aspects légaux et des conséquences de cette fuite de données catastrophique, nos gouvernements devraient s’inspirer des objectifs du RGPD en Europe pour définir une politique numérique québécoise et canadienne:

Stéphane Hamel est un consultant indépendant chevronné en marketing et cybermétrie, innovateur, enseignant et conférencier ayant un intérêt marqué pour l'utilisation éthique des données et le respect de la vie privée des consommateurs.

Si cet article vous a plu, suivez-moi sur Facebook ou Twitter, rejoignez-moi sur LinkedIn et, pendant que vous y êtes, pourquoi ne pas cliquer sur les jolis petits applaudissements à gauche et me suivre sur Medium!

Photo par Franki Chamaki sur Unsplash

Written by

All the world is made of faith, and trust, and pixie dust. Digital marketer & analyst with a strong interest for privacy and the ethical use of data.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store