Enquête sur Ashley Madison : mesures de sécurité déficientes et marque de confiance fictive pour la sécurité, une affirmation « trompeuse » English
Nouvelles fournies par
Commissariat à la protection de la vie privée du Canada23 août, 2016, 11:23 ET
Une enquête conjointe sur le propriétaire du site Web montre que l'entreprise a contrevenu aux lois sur la protection des renseignements personnels au Canada et en Australie
GATINEAU, QC, le 23 août 2016 /CNW/ - Ashley Madison s'est fait connaître comme un service garantissant une discrétion totale à l'intention des personnes en quête d'aventures en toute confidentialité. Pour étayer cette information, l'entreprise a inventé de toutes pièces une « marque de confiance » attribuée pour la sécurité. Une enquête menée à la suite d'une atteinte à la sécurité des données d'une ampleur considérable a toutefois révélé que les mesures et les politiques en matière de sécurité appliquées par l'entreprise exploitant le site Web étaient inadéquates.
« Les atteintes à la vie privée constituent l'un des principaux risques pour toute organisation dont le modèle d'affaires repose sur la collecte et l'utilisation de renseignements personnels », a indiqué Daniel Therrien, commissaire à la protection de la vie privée du Canada.
« Et le risque est encore plus élevé dans le cas des renseignements très sensibles et attrayants pour les criminels. Il est inacceptable qu'une organisation traite de grandes quantités de renseignements personnels de cette nature sans avoir adopté un plan global de sécurité de l'information. C'est là une des grandes leçons que toutes les organisations peuvent tirer de cette enquête. »
L'enquête portant sur le piratage du réseau informatique de l'entreprise torontoise Avid Life Media Inc. (ALM) a été menée conjointement par le Commissariat à la protection de la vie privée du Canada et le Commissariat à l'information de l'Australie. Elle a permis de relever de nombreuses infractions aux lois sur la protection des renseignements personnels des deux pays.
La principale préoccupation soulevée avait trait à l'absence d'un cadre exhaustif pour la sécurité et la protection de la vie privée - malgré le fait qu'ALM (renommée récemment « Ruby Corp. ») était manifestement consciente de l'importance de la discrétion et de la sécurité. L'entreprise affichait même sur la page d'accueil de son site Web une icône de fausse marque de confiance pour rassurer les utilisateurs.
L'intrusion dans le système de gestion de données d'ALM a été découverte en juillet 2015. Après l'incident, le pirate a affiché en ligne des fichiers extraits du réseau d'entreprise d'ALM et de la base de données d'Ashley Madison, en l'occurrence des renseignements détaillés se rapportant à près de 36 millions de comptes d'utilisateur.
L'enquête visait à vérifier la conformité d'ALM à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), loi fédérale qui régit la protection de la vie privée dans le secteur privé, et à la Privacy Act de l'Australie. Elle portait sur quatre grandes questions : la sécurité de l'information, la conservation et la suppression des comptes d'utilisateur, l'exactitude des adresses de courriel ainsi que la transparence pour les utilisateurs.
L'enquête a révélé que certaines mesures de sécurité de l'information étaient insuffisantes ou absentes. En outre, ALM avait mis en place des mesures de protection des renseignements personnels, mais elle n'est pas parvenue à les mettre en œuvre de façon appropriée, notamment :
- Les processus d'authentification des employés ayant accès à distance aux systèmes de l'entreprise étaient inadéquats.
- Les mesures de protection du réseau d'ALM comprenaient un chiffrement de toutes les communications Web entre l'entreprise et ses utilisateurs. Toutefois, les clés de chiffrement étaient stockées sur les systèmes d'ALM sous forme de texte clair et nettement identifiable. Il y avait donc un risque que les renseignements chiffrés soient communiqués sans autorisation à l'aide de ces clés.
- Les pratiques d'ALM en matière de gestion des clés et des mots de passe étaient inadéquates. Par exemple, le « secret partagé » de l'entreprise pour autoriser l'accès à distance à ses serveurs était accessible sur son espace Google Drive, si bien que toute personne ayant accès au lecteur de n'importe quel employé d'ALM sur n'importe quel ordinateur, n'importe où, aurait pu découvrir ce secret.
- Des cas de stockage de mots de passe en texte clair et nettement identifiable dans des courriels et des fichiers textes ont aussi été détectés sur les systèmes de l'entreprise.
Selon le commissaire Therrien, « les mesures de sécurité doivent être documentées par écrit et inclure des mesures de sécurité technologiques, matérielles et organisationnelles. De plus, les entreprises se doivent d'évaluer les risques, définir leurs politiques pour atténuer ces risques et former les employés pour faire en sorte que ces politiques sont bel et bien mises en œuvre et appliquées. »
En ce qui concerne la conservation et la suppression des renseignements personnels des utilisateurs, l'enquête a démontré que l'entreprise les conservait après la désactivation ou la suppression du profil par l'utilisateur.
L'enquête a aussi révélé que l'entreprise ne confirmait pas l'exactitude des adresses de courriel en sa possession - si bien que l'adresse de courriel de personnes ne s'étant jamais inscrites au service d'Ashley Madison s'est retrouvée dans les bases de données affichées en ligne à la suite de l'incident. Cette situation soulève des préoccupations particulières du fait que toute association avec un site comme Ashley Madison pourrait causer une grave atteinte à la réputation, tant pour les utilisateurs que pour les non‑utilisateurs.
Enfin, en ce qui concerne la transparence, les enquêteurs ont conclu que la page d'accueil du site Web Ashley Madison affichait au moment de l'incident diverses marques de confiance semblant indiquer un niveau de sécurité élevé. Entre autres, une icône en forme de médaille mentionnait que le site était « sécurisé et digne de confiance ». Les représentants d'ALM ont reconnu par la suite avoir inventé eux-mêmes cette marque de confiance et ils ont retiré cette mention du site.
« Le recours par l'entreprise à une marque de confiance fictive signifie que le consentement des individus a été obtenu de façon détournée », précise le commissaire Therrien.
Les commissaires du Canada et de l'Australie ont formulé plusieurs recommandations pour amener l'entreprise à se conformer rapidement aux lois sur la protection des renseignements personnels.
L'entreprise a collaboré à l'enquête. Pour démontrer sa détermination à régler les problèmes de protection de la vie privée, elle a accepté de conclure une entente de conformité avec le commissaire canadien et de prendre auprès du commissaire australien un engagement en vertu duquel les recommandations formulées pourront être imposées par un tribunal.
À propos du Commissariat à la protection de la vie privée du Canada
Le Parlement a confié au Commissariat à la protection de la vie privée du Canada le mandat d'agir à titre d'ombudsman et de gardien du droit à la vie privée au Canada. Le commissaire est responsable de l'application de deux lois fédérales relatives à la protection des renseignements personnels : la Loi sur la protection des renseignements personnels, qui s'applique au secteur public fédéral, et la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui s'applique aux organisations du secteur privé au Canada.
Voir aussi :
Enquête sur Ashley Madison - Leçons à tirer pour toutes les organisations
REMARQUE : Pour nous permettre de leur répondre rapidement, nous demandons aux journalistes de nous présenter par courriel toute demande d'entrevue ou de renseignements complémentaires.
SOURCE Commissariat à la protection de la vie privée du Canada
Pour obtenir de plus amples renseignements, veuillez communiquer avec le Commissariat à la protection de la vie privée du Canada : Valerie Lawton, [email protected]; Tobi Cohen, [email protected]
Partager cet article