Deux trous de sécurité majeurs dans SAQ Inspire

Depuis l’année dernière, la SAQ mise à fond de train sur son programme SAQ Inspire pour toutes ses actions marketing. Les points bonis ont remplacé les rabais en argent sur les collerettes et les ventes à 10% seront bientôt remplacées par des offres de multiplication des points Inspire. Les points s’accumulent ainsi assez facilement, mais il est aussi facile pour un personne mal intentionnée d’utiliser les points d’autrui grâce à deux trous de sécurité majeurs.

SAQ Inspire (Photo: SAQ.com)
SAQ Inspire (Photo: SAQ.com)

Depuis quelques semaines, des rapports ont commencé à faire surface, notamment sur le forum fouduvin.ca (spécifiquement dans ce fil de discussion, mais les messages ont été supprimés par leur auteur depuis), que des détenteurs de la carte Inspire se sont fait frauder et ont vu leurs points disparaître du jour au lendemain. Pour certains, il s’agit d’une perte de plus d’une centaine de dollars. La SAQ mentionne avoir reçu les premières plaintes de ce genre à la fin-janvier.

Un des membre du forum a aussi rapporté avoir reçu un sondage par email promettant une récompense de 30 000 points. Après confirmation auprès du service à la clientèle de la SAQ, il a été confirmé qu’il s’agit d’une tentative d’hameçonnage. En observant le courriel d’un peu plus près, on remarque qu’il provient de saq@saqinspire.fr, ce qui aurait dû mettre la puce à l’oreille. On ignore pour l’instant comment son courriel personnel a pu être compromis, mais il confirme que ce n’est pas le même qu’il utilise pour Inspire, ce qui écarte un piratage de la base de données de la SAQ.

Ce sondage a été rapporté comme frauduleux sur la plateforme qui l’hébergeait et n’est plus disponible au moment d’écrire ces lignes. Il est probable qu’il refasse surface ailleurs, par contre.

Courriel frauduleux SAQ Inspire
Courriel frauduleux SAQ Inspire

Il est aussi probable qu’un employé soit à la source d’une fuite d’un numéro de membre, puisque cette information (ainsi que le solde disponible) est affiché dans la caisse enregistreuse lors de la facturation. Cette méthode a même l’avantage de ne faire ressortir que les comptes qui ont un solde intéressant, contrairement au hameçonnage…

Or, une fois qu’une personne malveillante a en main un numéro de membre SAQ Inspire, c’est un jeu d’enfant d’utiliser les points. La manière la plus simple est d’ajouter le numéro dans l’application mobile de la SAQ. Mes tests ont montré qu’il n’y a aucune validation que la carte est bel et bien liée au compte enregistré dans l’application. Par la suite, on n’a qu’à se présenter en succursale et utiliser la version électronique de la carte pour passer à la caisse.

Il est aussi possible pour un employé d’entrer manuellement le numéro Inspire dans la caisse enregistreuse, lui donnant accès au solde de points au même titre que s’il venait de scanner la carte d’un client. Il n’est pas non plus impensable qu’un algorithme permettant de deviner des numéros de membre ait pu être mis au point, même si cette éventualité est plus improbable.

La récente attention médiatique sur ce problème a fait en sorte que les caissiers doivent maintenant demander une pièce d’identité pour toute transaction qui implique plus de 20 000 points (une valeur de 20$) et ce, depuis aujourd’hui. Avis aux couple qui utilisent chacun une carte, le compte SAQ ne possède l’information personnelle d’un de vous deux, il est possible que l’un d’entre vous ne puisse pas échanger vos points.

Il serait assez simple techniquement de régler les deux trous de sécurité mentionnés ci-haut. Dans le cas de l’application mobile, il suffirait de valider que le courriel attitré à la carte que l’utilisateur essaie d’ajouter est bel et bien liée au compte saq.com enregistré dans l’application et, éventuellement, redemander le mot de passe de ce compte. Une mise à jour de l’affichage aux caisses ne permettant pas de voir le numéro complet de la carte permettrait aussi d’éviter les fuites provenant de cette source.

La SAQ mentionne aussi qu’il n’est pas exclu que le système soit sécurisé par un NIP, ce qui ajouterait une couche de sécurité lors du retrait des points.

Si vous observez un movement anormal de votre solde Inspire, veuillez contacter le service à la clientèle de la SAQ.

Vous avez quelque chose à ajouter?