Les e-mails ne fonctionnent pas comme ça, HSBC

 (danq.me)
1 points par GN⁺ 2026-01-30 | Aucun commentaire pour le moment. | Partager sur WhatsApp
  • HSBC a déterminé la réception des e-mails par ses clients à l’aide d’un pixel de suivi, et a donc envoyé par erreur des avis indiquant que « l’e-mail avait rebondi » à des clients qui les recevaient pourtant normalement
  • La banque a demandé aux clients de mettre à jour leur adresse e-mail, alors que la bonne adresse était déjà enregistrée dans leur compte
  • L’analyse a montré que les e-mails de HSBC incluaient un pixel de suivi basé sur HTTP, ce qui peut exposer des données personnelles comme le moment de réception, la fréquence d’ouverture et l’adresse IP
  • Comme les pixels de suivi ne fonctionnent pas lorsqu’ils sont bloqués, le fait que la banque s’en serve pour conclure à une « non-réception » de l’e-mail est dénoncé comme un mésusage technique
  • HSBC devrait passer à l’arrêt du suivi non chiffré, au respect de la vie privée et à une communication client plus claire

Notification erronée de rebond d’e-mail chez HSBC

  • HSBC a envoyé aux clients un courrier postal leur demandant de mettre à jour leur adresse, au motif que « l’e-mail avait rebondi »
    • Le client recevait et consultait en réalité normalement les e-mails de HSBC
    • Après vérification du compte en ligne, l’adresse e-mail enregistrée était correcte
  • Lors d’un échange par chat avec le service client, seule une réponse de pure procédure a été répétée : si la banque a envoyé la lettre, il fallait changer l’adresse
    • Ce n’est qu’au téléphone qu’il a finalement été répondu que, si l’adresse était correcte, la lettre pouvait être ignorée
  • L’auteur a suggéré à HSBC de remplacer la mention « action requise » par « vérification de l’adresse requise »

Structure et problèmes des pixels de suivi d’e-mails

  • En bas des e-mails de HSBC figuraient deux images de 1×1 pixel
    • Ces pixels servent de dispositif de suivi enregistrant l’ouverture du message lorsqu’un destinataire ouvre l’e-mail et que son client contacte le serveur
  • HSBC envoyait ce pixel via le protocole HTTP, ce qui crée une faille de sécurité permettant à des tiers sur le réseau de savoir qu’un e-mail a été ouvert
    • Sur un Wi-Fi public, un autre utilisateur du même réseau pourrait potentiellement détecter cette information
  • Le risque est aussi évoqué qu’un attaquant insère une image en bas d’un e-mail afin de le faire passer pour un message de phishing

Le manque de fiabilité des pixels de suivi et leur mésusage

  • L’auteur utilise un réglage de blocage des pixels de suivi et n’envoie donc pas d’information d’ouverture des e-mails
    • C’est conforme au fonctionnement d’origine de l’e-mail, où le destinataire peut choisir de révéler ou non l’ouverture du message
  • HSBC semble avoir interprété l’absence de signal du pixel comme une « non-réception » de l’e-mail, et l’avoir traité comme un rebond
    • Il s’agit d’un cas de mésusage du pixel de suivi comme outil d’identification individuelle, au lieu d’un usage d’analyse statistique
  • Au final, HSBC a donc envoyé une fausse notification affirmant que « l’e-mail avait rebondi »

Propositions d’amélioration adressées à HSBC

  • Arrêt du suivi non chiffré (HTTP) : l’usage de HTTPS est nécessaire pour éviter l’exposition sur le réseau lors de l’ouverture des e-mails
  • Ne pas assimiler le blocage du suivi à un refus de réception : l’échec d’un pixel peut avoir de nombreuses causes techniques
  • Cesser de surveiller les habitudes e-mail des clients : une banque qui possède déjà suffisamment de données personnelles n’a pas besoin d’en ajouter par une surveillance supplémentaire
  • Vérifier la validité des adresses e-mail par confirmation directe : des procédures fondées sur un consentement explicite, comme le clic sur un lien de confirmation, sont recommandées
  • Respecter les principes d’éthique des données : conformément aux « principes d’usage éthique des données et de l’IA » publiés par HSBC, il faut garantir l’adéquation à l’objectif et la transparence

Conclusion

  • HSBC a mal compris les limites de fiabilité des pixels de suivi et a donc mal évalué les e-mails de ses clients
  • Ce cas montre que les pratiques de collecte de données relevant du capitalisme de surveillance ont pénétré jusqu’au fonctionnement des institutions financières
  • L’auteur insiste sur le fait que HSBC doit reconnaître cette erreur technique et renforcer la transparence dans l’usage des données et la protection de la vie privée des clients

À lire aussi

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.