Les e-mails ne fonctionnent pas comme ça, HSBC

 (danq.me)
1 points par GN⁺ 2026-01-30 | 1 commentaires | Partager sur WhatsApp
  • HSBC a déterminé la réception des e-mails par ses clients à l’aide d’un pixel de suivi, et a donc envoyé par erreur des avis indiquant que « l’e-mail avait rebondi » à des clients qui les recevaient pourtant normalement
  • La banque a demandé aux clients de mettre à jour leur adresse e-mail, alors que la bonne adresse était déjà enregistrée dans leur compte
  • L’analyse a montré que les e-mails de HSBC incluaient un pixel de suivi basé sur HTTP, ce qui peut exposer des données personnelles comme le moment de réception, la fréquence d’ouverture et l’adresse IP
  • Comme les pixels de suivi ne fonctionnent pas lorsqu’ils sont bloqués, le fait que la banque s’en serve pour conclure à une « non-réception » de l’e-mail est dénoncé comme un mésusage technique
  • HSBC devrait passer à l’arrêt du suivi non chiffré, au respect de la vie privée et à une communication client plus claire

Notification erronée de rebond d’e-mail chez HSBC

  • HSBC a envoyé aux clients un courrier postal leur demandant de mettre à jour leur adresse, au motif que « l’e-mail avait rebondi »
    • Le client recevait et consultait en réalité normalement les e-mails de HSBC
    • Après vérification du compte en ligne, l’adresse e-mail enregistrée était correcte
  • Lors d’un échange par chat avec le service client, seule une réponse de pure procédure a été répétée : si la banque a envoyé la lettre, il fallait changer l’adresse
    • Ce n’est qu’au téléphone qu’il a finalement été répondu que, si l’adresse était correcte, la lettre pouvait être ignorée
  • L’auteur a suggéré à HSBC de remplacer la mention « action requise » par « vérification de l’adresse requise »

Structure et problèmes des pixels de suivi d’e-mails

  • En bas des e-mails de HSBC figuraient deux images de 1×1 pixel
    • Ces pixels servent de dispositif de suivi enregistrant l’ouverture du message lorsqu’un destinataire ouvre l’e-mail et que son client contacte le serveur
  • HSBC envoyait ce pixel via le protocole HTTP, ce qui crée une faille de sécurité permettant à des tiers sur le réseau de savoir qu’un e-mail a été ouvert
    • Sur un Wi-Fi public, un autre utilisateur du même réseau pourrait potentiellement détecter cette information
  • Le risque est aussi évoqué qu’un attaquant insère une image en bas d’un e-mail afin de le faire passer pour un message de phishing

Le manque de fiabilité des pixels de suivi et leur mésusage

  • L’auteur utilise un réglage de blocage des pixels de suivi et n’envoie donc pas d’information d’ouverture des e-mails
    • C’est conforme au fonctionnement d’origine de l’e-mail, où le destinataire peut choisir de révéler ou non l’ouverture du message
  • HSBC semble avoir interprété l’absence de signal du pixel comme une « non-réception » de l’e-mail, et l’avoir traité comme un rebond
    • Il s’agit d’un cas de mésusage du pixel de suivi comme outil d’identification individuelle, au lieu d’un usage d’analyse statistique
  • Au final, HSBC a donc envoyé une fausse notification affirmant que « l’e-mail avait rebondi »

Propositions d’amélioration adressées à HSBC

  • Arrêt du suivi non chiffré (HTTP) : l’usage de HTTPS est nécessaire pour éviter l’exposition sur le réseau lors de l’ouverture des e-mails
  • Ne pas assimiler le blocage du suivi à un refus de réception : l’échec d’un pixel peut avoir de nombreuses causes techniques
  • Cesser de surveiller les habitudes e-mail des clients : une banque qui possède déjà suffisamment de données personnelles n’a pas besoin d’en ajouter par une surveillance supplémentaire
  • Vérifier la validité des adresses e-mail par confirmation directe : des procédures fondées sur un consentement explicite, comme le clic sur un lien de confirmation, sont recommandées
  • Respecter les principes d’éthique des données : conformément aux « principes d’usage éthique des données et de l’IA » publiés par HSBC, il faut garantir l’adéquation à l’objectif et la transparence

Conclusion

  • HSBC a mal compris les limites de fiabilité des pixels de suivi et a donc mal évalué les e-mails de ses clients
  • Ce cas montre que les pratiques de collecte de données relevant du capitalisme de surveillance ont pénétré jusqu’au fonctionnement des institutions financières
  • L’auteur insiste sur le fait que HSBC doit reconnaître cette erreur technique et renforcer la transparence dans l’usage des données et la protection de la vie privée des clients

À lire aussi

1 commentaires

 
GN⁺ 2026-01-30
Avis Hacker News

  • Le fait qu’en 2026, du contenu soit encore servi en HTTP m’a frappé
    Même un contrôle de sécurité basique aurait dû le détecter, on dirait que cette étape a été complètement sautée
    Je travaille avec des données bancaires, et les systèmes internes sont tout aussi chaotiques
    Même au sein d’une même banque, les formats de date dans les CSV varient, et les libellés de transaction sont tronqués sans aucune standardisation
    Malgré une pression réglementaire aussi forte, si on en est encore là, c’est surtout parce que la plupart des banques traitent leur infrastructure numérique comme de la vieille plomberie

    • J’ai aussi travaillé avec des données bancaires, et il existe bien un format standard appelé OFX
      Mais chaque banque tronque différemment la longueur des mémos, ou inverse des champs comme AMEX avec NAME et MEMO, donc c’est le bazar
      Cela dit, il existe au moins un minimum de standardisation
      Documentation liée : Open Financial Exchange, Financial Data Exchange
    • Les banques ne se soucient pas tant que ça de l’UI de leur banque en ligne
      Même les écrans des distributeurs automatiques ont ce côté vieillot
    • En réalité, il y a aussi beaucoup de cas où l’usage de HTTP est intentionnel
      Par exemple, le challenge ACME HTTP-01, l’émission de certificats, ou les réponses CRL/OCSP utilisent encore HTTP
      Voir RFC8555, documentation Let's Encrypt
      Donc généraliser en disant que « HTTP ne sert plus à rien aujourd’hui » est faux
    • Je ne suis pas sûr que HTTP soit vraiment le problème ici
      HTTPS échange aussi le SNI, donc on peut savoir qui communique avec HSBC
      Le reste de l’URL n’est qu’un identifiant de suivi anonymisé, donc la menace réelle ne semble pas énorme
    • Il est probable qu’un service tiers chargé du suivi des e-mails ait servi le contenu en HTTP
      Utiliser HTTPS complique davantage la configuration et la gestion des certificats

  • Je me suis demandé pourquoi une telle chose s’était produite
    Dans l’IT bancaire, même l’ajout d’une simple fonction de suivi d’e-mail implique des dizaines de personnes et prend facilement un an
    Quelqu’un a forcément dit pendant le processus que « le HTTP est dangereux en 2026 », mais il est très probable que des cadres intermédiaires l’aient ignoré

    • J’ai aussi soutenu une équipe de création de contenu e-mail dans une FAANG, et j’ai expliqué d’innombrables fois que « l’open tracking n’est pas fiable », sans que personne n’écoute
      Les dirigeants demandaient sans cesse pourquoi certaines personnes avaient ouvert sans que ce soit enregistré, ou pourquoi d’autres n’avaient pas ouvert alors que c’était enregistré
      Les rédacteurs voyaient que le taux d’ouverture était plus élevé que le taux de clic, donc ils en faisaient leur indicateur de performance
      Au final, tout le monde utilise des métriques inexactes pour avoir l’impression de bien faire son travail
    • Il y a sans doute des gens compétents, mais dans les grandes banques, la plupart des profils techniques sont démotivés
      La direction prend toutes les décisions, et les développeurs ne font qu’exécuter
      J’ai moi-même travaillé dans une grande banque, et à moins de partir au bout de quelques années, on finit par devenir quelqu’un qui « appuie sur des boutons et touche son salaire »
    • Malgré tout, je pense qu’il vaut mieux recevoir une notification par e-mail
      C’est bien préférable aux messages du type « vous avez un message important, connectez-vous »
    • Je pense que c’est ce qu’on appelle le « state of the practice »
      Comme avec les applis d’immeuble, des fonctions de confort deviennent peu à peu obligatoires, jusqu’à imposer le même fonctionnement à tout le monde
      Au passage, le contrôle individuel diminue
    • Franchement, dans ces conditions, il n’y a aucune raison pour qu’un développeur compétent reste dans une banque
      Le salaire et l’environnement ne sont pas particulièrement bons, et il y a très peu de place pour l’innovation

  • NAB Australia fait exactement la même chose
    Si les images distantes ne sont pas chargées dans l’e-mail, ils envoient un courrier disant que « l’e-mail n’est pas distribué » et basculent vers les relevés papier
    En réalité, les e-mails arrivaient très bien

    • J’ai vécu quelque chose de similaire avec Capital One
      Ils ont désactivé automatiquement les alertes de solde en estimant que je ne lisais pas mes e-mails
      Alors que j’avais simplement désactivé les accusés d’ouverture et bloqué les ressources distantes
      J’ai fini par changer de banque
    • Une banque a besoin de vérifier si le client reçoit bien ses e-mails, mais le courrier papier est bien plus peu fiable
      Les boîtes aux lettres d’immeuble sont souvent mal desservies, volées, voire brûlées

  • J’avais autrefois reçu du spam marketing de Bank of America, sans aucune option de désinscription
    J’ai donc désactivé cette adresse e-mail, et ils m’ont envoyé par courrier une demande de correction en disant que « les e-mails étaient rejetés »
    Je l’ai laissée désactivée pendant des années, jusqu’à ce qu’une fonction de préférences e-mail apparaisse enfin
    Ma femme reçoit encore du courrier indésirable de Citi, et là aussi il n’y a aucun moyen de se désinscrire
    Quand on voit ça, le fait que l’équipe IT de HSBC ait conclu, sur la base d’un tracking pixel, que « l’e-mail n’avait pas été lu » est vraiment stupide
    Aujourd’hui, la plupart des clients e-mail bloquent déjà les images par défaut

  • Le niveau technique de HSBC est vraiment catastrophique
    L’appli de banque en ligne semble tout droit sortie du début des années 2000, et un membre de ma famille l’utilise encore avec des erreurs permanentes
    Ce n’est pas une erreur utilisateur, c’est un problème système

  • Si l’on veut qu’une banque écoute ses clients, le plus efficace est de fermer son compte
    Bien sûr, il faut être prêt à réellement partir

    • Mais aujourd’hui, les banques ne gagnent plus vraiment leur argent avec les comptes, donc une clôture a très peu d’impact
    • En revanche, signaler le problème au régulateur est bien plus efficace
      Si le problème est consigné officiellement, des mesures peuvent être prises s’il se répète
    • En réalité, HSBC a déjà fermé elle-même des comptes parfaitement normaux
      Voir l’article du Guardian
      J’en ai moi-même subi les conséquences à l’époque, puis je suis passé chez Wise

  • Capital One fait quelque chose de similaire
    Au moins, ils indiquent clairement qu’on « n’a pas ouvert les e-mails récemment », donc on comprend ce qu’ils veulent dire
    En réalité, j’ouvrais bien les e-mails, je bloquais simplement le tracking pixel

    • Dès que je vois cette formulation, j’ai une règle Gmail qui les supprime automatiquement
      Je n’ai aucune raison de résoudre leur problème à leur place

  • Gmail précharge les images, donc même si l’utilisateur n’ouvre pas réellement l’e-mail, le tracking pixel est appelé

    • J’ai montré cela dans un cours d’éthique technologique destiné à des lycéens avec un compte Gmail, et j’ai été surpris de voir que ça fonctionnait vraiment
    • Apple Mail et la plupart des webmails font pareil, donc le signal d’ouverture est presque dénué de sens
    • J’ai entendu dire que Gmail appliquait un filtrage heuristique lorsqu’une même image est envoyée à plusieurs personnes
      Je ne l’ai pas testé moi-même, mais d’autres services de messagerie font probablement pareil
    • Quand Gmail télécharge une image, il s’identifie comme GoogleImageProxy, et la requête vient d’un ASN GCP
      Comme la plupart des services e-mail préchargent les images côté serveur pour analyser les malwares, en pratique le pixel tracking est presque toujours géré par un prestataire e-mail externe

  • J’ai vécu exactement la même chose avec HSBC
    Le processus était excellent : ouverture de compte en 10 minutes avec une identité numérique, et réception de la carte Apple Pay en une journée
    Mais après avoir refusé les e-mails marketing, ils ont envoyé un e-mail de « bienvenue / upsell », et comme il a rebondi, ils ont bloqué le compte
    J’ai fini dans la même situation que l’OP

  • Charles Schwab fait quelque chose de similaire
    Les e-mails arrivent très bien, mais ils passent quand même au relevé papier en disant qu’ils « ne sont pas distribués »
    Le vrai problème, c’est le blocage du tracking pixel

    • J’ai l’impression d’avoir le même problème avec Fidelity
      Les adresses e-mail sur domaine personnalisé posent problème, mais une adresse ProtonMail fonctionne très bien
      C’est sans doute parce que ProtonMail ne bloque pas le tracking pixel
    • Capital One fait la même chose
      J’ai fini par ne plus m’en soucier
      Comme le courrier papier leur coûte de l’argent, je me dis qu’ils finiront bien par s’en rendre compte