Discussion de forum

Avatar de Gaspard
Gaspard
Initiate
12-05-2020

Soucis de sécurité avec Internet Helix / Comcast

Bonjour, je suis avec Helix depuis quelques jours et j'ai plusieurs inquiétudes quant à la sécurité du service et au traitement des données personnelles.

 

  1. La borne communique des informations personnelles, incluant le mot de passe wifi en clair sur l'internet à Comcast aux États-Unis. Mes soucis:
    - En tant que client Canadien, je suis surpris d'apprendre que des informations personnelles se retrouvent sur des serveurs Américains;
    - Le mot de passe du wifi en clair à des partenaires signifie que je dois considérer mon réseau local comme publique, à toute fin pratique, puisque je ne sais pas, au final, qui a accès.
  2. Des informations sensibles sur mes appareils sont mis à la disposition de Comcast: liste de mes appareils, MAC address, type d'appareils, système d'exploitation, utilisation;
  3. Lorsque je me connecte à mon portail helixfi.videotron.com, le service se connecte également aux "partenaires" suivants:
    1. xerxessecure.com (Comcast, US)
    2. localytics.com (uplandsoftware - Texas, US)
    3. google.com (bien sur...)
    4. doubleclick.net (google)
    5. qualtrics.com
    6. facebook.net (pourquoi??)
    7. iperceptions.com (Colorado, US)
    8. krxd.net (Salesforce, Californie, US)
    9. hotjar.com (Paris, France)

 

La relation entre Videotron Helix et Comcast est peut-être évidente pour certains (?) mais elle ne l'était pas pour moi.

 

Après avoir discuté avec le service à la clientele, je comprends à présent que Videotron Helix est essentiellement la revente des services du fournisseur américain Comcast à travers Videotron au Canada. Nos donnés sont donc envoyés de la borne vers Comcast plutôt qu'à Videotron. De façon un peu absurde, le technicien m'a assuré que Vidéotron n'avait pas accès à ces information. Pourtant, je préfèrerais de beaucoup que Videotron soit en possession de ces données plutôt que Comcast...


J'ai demandé s'il était possible de limiter l'information du gateway vers Comcast et on m'a dit que ce n'était pas possible... encore une absurdité - puisque Videotron nous demande d'acheter le routeur de Comcast - donc au final on achète, mais ce n'est pas vraiment à nous...

 

Au final, on m'a conseillé de mettre mon routeur en mode bridge si j'ai des l'information sensible sur mon réseau local (ex. si je travaille pour le gouvernement) et d'utiliser mon propre routeur.

 

À noter, on m'a informé que Comcast a les données, mais n'a pas l'information sur le compte (ex. mon nom). Reste que une fois que vous avez le SSID, vous pouvez trouver l'adresse physique d'une personne. Une fois que vous avez le MAC address, vous pouvez corréler les déplacements... Et avec l'explosion des appareils connectés, avoir la liste des appareils et leur utilisation individuelle révèle beaucoup sur nous (ex. Comcast peu savoir combien de brassés de lavage je fais chaque semaine puisque ma laveuse est sur le réseau...)

 

Enfin, sans être parano, il me semble que Videotron devrait être plus transparent sur le fait que Comcast a accès au donnés personnelles telle que IP, SSID, MAC address, mot de passe, utilisation brute et profile d'utilisation de chaque appareil. Également, j'aimerais savoir exactement ce qui est scanné et transmis par la borne. Je n'ai pas pu trouver cette information nul part.  La politique de vie privée n'en parle pas (https://corpo.videotron.com/confidentialite)

 

 

J'en ai surtout sur le manque de transparence ici... enfin.

Sur une autre note, le technicien de Videotron a été super sympa.

 

Bon, sur ce, je vais aller me magasiner un routeur...

  • Bonjour Gaspard,

     

    Nous comprenons votre besoin pour la sécurité de vos informations et nous partageons celle-ci. Nous tenons à apporter quelques précisions sur le sujet.


    Nous pouvons vous confirmer que Vidéotron reste en tout temps le propriétaire de vos données et que celles-ci sont soumises à la politique de confidentialité que vous avez référencée.


    Vidéotron ne partage pas les données personnellement identifiables de ses clients. L’échange des données avec Comcast est fait de façon complètement sécurisée. Plusieurs fonctionnalités du service et des applications nécessitent l’échange de ces données anonymisées. De plus ces données servent uniquement aux fonctionnalités concernées et ne sont donc pas utilisées hors du cadre du fonctionnement du service et des applications.


    Nous avons la sécurité de nos clients au cœur de nos préoccupations et de nos projets, et mettons tout en œuvre pour donner un maximum de possibilités et fonctionnalités tout en protégeant nos clients.

  • Je ne suis plus chaud à l'idée de garder Helix mais plutôt revenir au bon vieux modem-câble avec le routeur que je peux tout configurer moi-même au niveau de la sécurité. Au tout début, j'ai configuré mon réseau pour séparer le 2.4 et 5 GHz et décider par moi-même quel réseau mes appareils devaient utiliser, et ce, à partir de la borne de Helix. Le lendemain, cette fonctionnalité n'existait plus. Je ne peux même plus changer le nom de mes 2 réseaux, le type d'encryption, le mot de passe et même l'activation ou désactivation du Broadcast SSID maintenant. Je vois les 2 réseaux et le seul moyen d'appliquer des modifications est de passer par l'application "Helix Fi" ou à partir du Web. Nous devrions avoir le contrôle absolu de la borne Helix comme si c'était un bon vieux routeur. Quand j'active le firewall au maximum, je perd la télé. Plus rien sur la télé. Ce n'est pas fort que je doive mettre la sécurité à Médium pour accéder à la télé. Quand j'ai créé mes 2 réseaux directement à partir de la borne Helix la première fois, ça s'est fait sans problèmes. J'avais l'option pour ajouter les MAC address de mes appareils et je l'ai fait. J'avais ma liste de MAC address la pemièr fois que je me suis branché sur la borne. Si j'activais la fonction pour que seulement mes appareils soient reconnus sur le réseau, ça ne marchait jamais et je perdais mes deux réseaux 2,4 et 5 GHz. Impossible de se rancher sur Internet. J'avais donc une belle liste de MAC address de tout mes appareils, mais impossible d'activer la filtration par MAC address du réseau Wifi car ça ne fonctionne pas. Je devais le laisser ouvert en attendant que le problème soit réglé. 

     

    Quand j'ai appelé le soutien technique, ils m'ont dit qu'ils ne pouvaient pas m'aider là-dessus car Helix est tout récent. Ils ne connaissent pas très bien leur produit. C'est un produit Américain qui est installé par les techniciens de Vidéotron et tant que ça marche pour le commun des mortels, on ferme les yeux ou on ne fait pas d'effort. 

     

    Après quelques jours, je me suis dit que ça devrait être réglé. Pire encore, la liste de mes MAC address a disparu et quand je vais dans la borne Helix maintenant: Gateway -- Connection -- Wifi.......Tout ce que je vois maintenant, cd sont mes 2 réseaux dont je je peux plus éditer quoi que ce soit. Il faut pas par Helix Fi et le Browser. Je vois la section "MAC Filter Setting" et avec un beau message: This may take several seconds....

     

    Et ça fait plus d'un mois que j'attend. Ne venez surtout pas me dire que ça n'a jamais été possible d'entrer la liste de MAC address comme un routeur conventionnel car je l'ai fait au tout début. Par contre, ce n'était pas très concluant car lorsque j'activais le tout pour reconnaitre seulement mes appareils, mes deux réseaux disparaissaient t devenaient indisponible. 

     

    Ce n'est pas fort que je puisse voir en clair mes mots de passe pour mes 2 réseaux en 2.4 et 5 GHz, non, vraiment pas fort sur le site Web helixfi.videotron.com. En plus, il y a une belle liste de mes appareils qui sont branchés sur le réseau, avec le détail des appareils: Device type, Connection type, Connection Point, MAC address, IP address, Hostname, Brand, Model (de mon appareil), Operating System.

     

    Mes outils informatiques sont à la disposition de Vidéotron et des Américains....pas fort. En plus, disponible à partir d'un simple Browser. 

     

    Maintenant, pour avoir une sécurité comme je le voudrais, il faudrait faire un bridge avec un routeur et Vidéotron s'en lave les mains. Si quelqu'un à Internet 400 ou 800 ou whatever la vitesse, il faudra qu'il s'achète un routeur dispendieux pour accepter la vitesse de son forfait. Désolé, c'est à Vidéotron de fournir les routeurs pour faire le bridge. Je n'utiliserai pas mes routeurs professionnels pour cela. 

     

    Je viens de me rendre compte, qu'avec Helix, ce n'est pas un, ni deux, mais dix pas en arrière à comparé du modem-câble et du routeur qui venait avec le tout. Je pense sérieusement revenir en arrière et je dis à tout le monde de ne pas utiliser Helix, c'est un "Cheval de Troie" en soit qui est installé directement entre les 4 murs de nos maisons. Ma phase est une figure de style, mais vous comprenez ce que je veux dire. 

     

    Je vais continuer mon enquête sur la borne Helix, sur Comcast car nos informations sur nos appareils informatiques ne devraient pas apparaitre dans un Browser. Juste ça, c'est une intrusion à la vie privée. Vidéotron ou Comcast ne devrait même pas utiliser un outil comme la borne Helix pour aller extirper toute cette information à partir des 4 murs de notre domicile et les afficher sur le portail "Helixfi.videotron.com" ou l'application mobile "Helix fi". 

     

    Je suis en train de finaliser mes tests pour le bridge et je vais devoir demander à Vidéotron de me fournir un routeur assez puissant pour permettre de supporter ma bande passante. Je n'ai pas à payer pour cela. Ce que je trouve dommage, c'est que présentement, même si je m'organisais pour bloquer la détection des informations de mes appareils par la borne Helix, Veotron a déjà dans sa base de données toutes les informations nécessaires sur mes appareils, et probablement Comcast, bien évidemment. 

     

    Le plus rôle, c'est qu'en envoyant ce message, ils vont fort probablement savoir d'où ça provient, à partir de quel appareil ce message a été envoyé, le MAC address de l'appareil, etc... et ils vont pouvoir remonter jusqu'à mon adresse civique. 

     

    Est-ce que je suis contre une telle pratique???

     

    Je suis Expert en Cyberenquêtes et Réponses aux Incidents Informatiques et des stratagèmes sophistiqués, j'en ai vu beaucoup....Je ne songe même pas une minute à brancher mes appareils professionnels pour accéder à Internet pour l'instant, de peur de retrouver toutes les informations de mes appareils dans les bases de données de Vidéotron et Comcast. Il faudra que j'en discute avec des collègues un peu partout à travers la province, le pays et un peu dans le monde. 

     

    Quand j'ai reçu un message me disant que mon cellulaire s'était branché sur un site Web possiblement frauduleux et que Vidéotron avait bloqué l'accès au site, c'était trop. Dans mon domaine, j'ai besoin de toute la latitude pour mon télétravail, mes enquêtes, mais là, je me rend compte que Vidéotron peut savoir toutes mes navigations Web, mes appareils. Je suis très échaudé. 

     

    Je me donne encore 1 semaine pour réfléchir, et je vais fort probablement demander à revenir avec le modem-câble et un routeur pour gérer le tout moi-même.

    • Avatar de wifi6ax
      wifi6ax
      Initiate

      Bonjour,

      Je suis pratiquement outré de découvrir cela. Moi qui pensais passé à Helix, je suis assez refroidit.

      Je sais que les modérateurs n’aimeront pas que je dise ça mais si vous voulez du 400/50 sur l’infra câble de vidéotron sans prendre helix, car oui même si vous dite que vous voulez l’ancien modem a vidéotron vous n’aurez rien. Je vous suggère de passer chez ebox et de louer le tc4400 à 5$/mois et mettre votre propre routeur. Comme sa vous allez être tranquille.

       

  • Merci Gaspard cela me fait effectivement remettre en question si je veux passer à Helix. 

  • Votre réponse n'en est pas vraiment une.  Même si les données personnelles des clients ne sont pas transmises à Comcast,  il est facile de leur attribuer un ID et de collecter des données concernant les habitudes web des clients jusqu'à qu'il soit possible de les identifier de manière claire.  Sans compter qu'il peut s'agir là d'un grave problème de sécurité beaucoup plus large hors du cadre de l'utilisation des services Hélix.   

     

    Juste à voir La Brèche sur Illico pour en comprendre les enjeux.  

     

    Je comprends mieux maintenant pourquoi la qualité de Streaming de Hélix est si basse.  Hélix sur le web se connecte à Manhattan, Chicago et San Francisco.  Normal qu'il y ait des ralentissements.  Il faut traverser jusqu'à 10 nœuds du routeur jusqu'aux serveurs de Comcast.  Sans compter qu'il y a de fortes chances que les clients de Comcast soient privilégiés au détriment de ceux de Vidéotron en période pointe.  Tous les FAI le font.

     

    J'ai fait le comparatif entre une émission en streaming sur Hélix vs l'application TVA.  

    La qualité d'image est nettement inférieur avec Hélix, beaucoup de lag, problèmes de latence, etc.

     

    Hélix a été un choix précipité par Vidéotron mauvais choix de technologie.  Ça pourrait très certainement couler votre offre Télé dans un avenir à moyen terme.  

     

  • Moi qui se souciait que le portail web de la borne Helix ne soit qu'en HTTP sans SSL donc en clair et en plus le mot de passe du SSID apparait en clair sur la premiere page du portail 10.0.0.1 accessible via le compte admin / password (par défaut). Oui quelqu'un doit être déjà à l'intérieur de mon réseau mais quand même. Combien n'irons même pas changer au minimum le mot de passe de ce portail...

    • Avatar de CedrikS
      CedrikS
      Moderator - Solution Expert

      Bonjour KSCfan,

       

      Vous pouvez définitivement modifier le mot de passe de l'accès admin mais si vous soupçonnez une problématique avec cet accès, n'hésitez pas à joindre notre soutien technique à l'aide du lien suivant: http://bit.ly/FB_Nous_joindre

       

      Merci!

  • Avatar de AudreyD
    AudreyD
    Moderator - Solution Expert

    Bonjour Gaspard,

     

    Nous comprenons votre besoin pour la sécurité de vos informations et nous partageons celle-ci. Nous tenons à apporter quelques précisions sur le sujet.


    Nous pouvons vous confirmer que Vidéotron reste en tout temps le propriétaire de vos données et que celles-ci sont soumises à la politique de confidentialité que vous avez référencée.


    Vidéotron ne partage pas les données personnellement identifiables de ses clients. L’échange des données avec Comcast est fait de façon complètement sécurisée. Plusieurs fonctionnalités du service et des applications nécessitent l’échange de ces données anonymisées. De plus ces données servent uniquement aux fonctionnalités concernées et ne sont donc pas utilisées hors du cadre du fonctionnement du service et des applications.


    Nous avons la sécurité de nos clients au cœur de nos préoccupations et de nos projets, et mettons tout en œuvre pour donner un maximum de possibilités et fonctionnalités tout en protégeant nos clients.

    • Avatar de Whitewolf10
      Whitewolf10
      Disciple

      C'est le principe même des fonctionnalités de la borne Helix qui est problématique. Quand une telle technologie détecte pleins d'informations à propos de nos appareils, nous avons le droit de nous poser des questions....Ce n'est pas normal que la borne détecte jusqu'à mon modèle exact de mon ordinateur, le MAC address, le système d'exploitation...et n'oubliez pas une chose c'est une technologie américaine...et les américains, nos petites politiques québécoises ou canadiennes de sécurité et confidentialité de nos données, c'est bien le dernier de nos soucis. N'oubliez pas "Snowden" et tout ce qui est en est ressortit de ses révélations. Je veux que vous m'assuriez, noir sur blanc, que toutes ces informations prises sur mes appareils ne sont pas à quelque part d'autres. Et pourquoi l'intérêt de prendre toutes ces informations???, il n'y en a aucune.

       

      Faites-moi la preuve s'il-vous-plait que les informations de mes ordinateurs, cellulaires, disques durs sans fils pour backup, tout ce qui a été amassés par la borne et qui se retrouvent sur le portail de "Helix fi" ne se retrouve pas ailleurs. Pour la nouvelle version de la borne Helix, elle ne devrait pas prendre les informations de nos appareils et nous devrions gérer notre réseau interne comme avant, avoir le contrôle et les fonctionnalités des routeurs sans-fils et s'occuper nous-même de la sécurité de nos appareils et de notre réseau maison. Vidéotron et Comcast n'a pas besoin de savoir le MAC address de mon mes appareils, ni le type, modèle d'ordinateur et la version du système d'exploitation qui s'y trouve. Votre job est de nous fournir la câblodistribution et un point d'accès à Internet, point à la ligne. 

  • J'allais justement rédiger un commentaire à ce sujet lorsque j'ai vu le vôtre.  

     

    Je viens de m'apercevoir que helix.videotron.com = edge.cloudtv-videotron-active-xcr.comcast.net 

     

    Donc toutes nos habitudes, nos préférences télévisuelles et beaucoup de données personnelles sont relayées au USA.  Cela est un grave manquement à la confidentialité des données.

     

    Je vais porter diffuser cette information publiquement à des personnes d'intérêts, car en aucun cas, les clients de Vidéotron n'ont été informés de ce fait.  

     

    À un époque où il y a des brèches de sécurité et des problèmes de sécurité des données un peu partout, il me semble que Vidéotron devrait faire beaucoup plus en la matière et devrait être plus transparent.

     

     

    • Avatar de CedrikS
      CedrikS
      Moderator - Solution Expert

      Bonjour Patlem99,

       

      Tout comme notre collègue Audrey l'avait expliquée dans une réponse précédente, nous pouvons vous confirmer que Vidéotron reste en tout temps le propriétaire de vos données et que celles-ci sont soumises à la politique de confidentialité que vous avez référencée.


      Vidéotron ne partage pas les données personnellement identifiables de ses clients. L’échange des données avec Comcast est fait de façon complètement sécurisée. Plusieurs fonctionnalités du service et des applications nécessitent l’échange de ces données anonymisées. De plus ces données servent uniquement aux fonctionnalités concernées et ne sont donc pas utilisées hors du cadre du fonctionnement du service et des applications.


      Nous avons la sécurité de nos clients au cœur de nos préoccupations et de nos projets, et mettons tout en œuvre pour donner un maximum de possibilités et fonctionnalités tout en protégeant nos clients.

       

      Merci et si il y a quoique ce soit d'autre, n'hésitez pas. Bonne journée!

  • En passant Google et Facebook collectent pas mal plus d'informations que Comcast....