Accueil Mises À Jour

‘ASHLEY MADISON’ DE RETOUR : Rappels Importants sur la Protection de la Vie Privée et la Cybersécurité

6 19 2024

Par Raffaella Rullo, Mouna Hanna et Ben Flanagan

APERÇU

Le récent documentaire de Netflix, « Ashley Madison : Sexe, Mensonges et Scandale », nous rappelle de manière frappante que les préoccupations liées à la confidentialité et à la cybersécurité qui ont perturbé les organisations en 2015 restent tout aussi pertinentes aujourd’hui.

Lancé en 2002, Ashley Madison est un service de rencontres en ligne destiné aux personnes mariées cherchant à avoir des aventures. En 2015/2016, c’était le plus grand site web détenu et exploité par la société torontoise Avid Life Media (« ALM« ), qui avait une portée mondiale, avec des utilisateurs dans plus de 50 pays. Aujourd’hui, il se targue de « plus de 80 millions d’inscriptions depuis 2002 et des centaines de milliers de nouveaux membres chaque mois. » [1]

En juillet 2015, ALM a été piraté par une personne ou un groupe se faisant appeler « Impact Team », avec une demande de fermeture d’Ashley Madison. Après le refus d’ALM, l’Impact Team a publié des informations qu’il prétendait avoir volées à ALM, y compris les informations personnelles de plus de 36 millions d’utilisateurs d’Ashley Madison.

Étant donné l’ampleur de la violation et les informations personnelles sensibles impliquées, le Commissariat à la protection de la vie privée du Canada (le « CPVP« ) et le Bureau du commissaire à l’information de l’Australie (avec le CPVP, les « Commissaires« ) ont mené une enquête conjointe sur les pratiques de confidentialité d’ALM, entre autres. L’enquête conjointe a été menée conformément à la Loi sur la protection de la vie privée de 1988 de l’Australie (Australian Privacy Act) et à la Loi sur la protection des renseignements personnels et les documents électroniques du Canada (PIPEDA). Les résultats de l’enquête conjointe ont été synthétisés dans un rapport publié le 22 août 2016 (le « Rapport« ).

Huit ans plus tard, le Rapport continue de fournir des informations précieuses sur ce qui est considéré comme une sécurité raisonnable en vertu de la PIPEDA et constitue un excellent rappel pour les entreprises faisant des affaires au Canada de s’assurer qu’elles sont en conformité.

CONTEXTE DE LA VIOLATION DE DONNÉES

ALM était une société privée constituée au Canada avec son siège social à Toronto, Ontario. Elle exploitait plusieurs sites de rencontres pour adultes, dont le plus visité était Ashley Madison. Au moment de la violation, Ashley Madison hébergeait plus de 36 millions d’utilisateurs et générait plus de 100 millions de dollars de revenus annuels.

Le 12 juillet 2015, les employés du département informatique d’ALM ont détecté un comportement inhabituel dans le système de gestion de bases de données d’ALM. Le jour suivant, un avis prétendument du hacker, l’Impact Team, est apparu sur les ordinateurs utilisés par les employés du service client d’ALM. L’avis indiquait qu’ALM avait été piraté et menaçait de publier les données volées si Ashley Madison et un autre site de rencontres d’ALM n’étaient pas fermés.

ALM n’a pas cédé à la menace de l’Impact Team. En conséquence, les 18 et 20 août 2015, le hacker a publié un grand nombre de fichiers d’ALM contenant des informations de profil extrêmement sensibles (noms d’utilisateur, adresses, mots de passe, numéros de téléphone, types d’expériences recherchées sur le site, sexe, taille, poids, origine ethnique, type de corps); des informations de compte utilisées pour faciliter l’accès au service Ashley Madison (adresses e-mail, questions de sécurité, mots de passe cryptés); et des informations de facturation (adresses de facturation et les quatre derniers chiffres des numéros de carte de crédit); en plus des documents internes d’ALM et des e-mails privés du PDG.

LA LÉGISLATION CANADIENNE EN MATIÈRE DE PROTECTION DE LA VIE PRIVÉE

Les entreprises canadiennes peuvent être soumises à plusieurs lois sur la protection de la vie privée. Dans le cas d’ALM, la législation applicable était la PIPEDA.

La PIPEDA est la législation fédérale sur la protection de la vie privée pour les organisations du secteur privé au Canada. Elle s’applique à la collecte, l’utilisation ou la divulgation d’informations personnelles dans le cadre d’une activité commerciale. Les informations personnelles comprennent toute information factuelle ou subjective, enregistrée ou non, concernant une personne identifiable. La PIPEDA énonce 10 principes d’information équitable pour protéger les informations personnelles, dont plusieurs sont pris en compte et discutés dans le Rapport.

ALM N’AVAIT PAS DE POLITIQUES DE SÉCURITÉ RAISONNABLES NI DE GARANTIES

L’enquête a révélé que le cadre de sécurité d’ALM était déficient dans trois éléments clés :

  1. Politiques ou pratiques de sécurité documentées ;
  2. Processus explicite de gestion des risques (y compris des évaluations périodiques et proactives des menaces pour la confidentialité et l’évaluation des pratiques de sécurité) ;
    • Formation adéquate du personnel pour garantir que les obligations en matière de confidentialité et de sécurité étaient respectées. Étant donné la nature des informations personnelles collectées par ALM et les services proposés, le niveau de sécurité des garanties devait être « proportionnellement élevé », conformément au Principe 4.7 de la PIPEDA. L’enquête a conclu qu’ALM ne disposait pas des garanties appropriées au regard de la sensibilité des informations personnelles en question.

Les Commissaires ont également trouvé que les pratiques de sécurité appropriées, les procédures et les systèmes étaient gravement manquants, en violation du Principe 4.1.4 de la PIPEDA, y compris les éléments suivants :

  • Aucune politique ou pratique de sécurité documentée pour la gestion des autorisations réseau ;
  • ALM n’avait pas mis en œuvre un certain nombre de contre-mesures détectives couramment utilisées pour faciliter la détection des attaques ou identifier des anomalies indicatives de problèmes de sécurité (c’est-à-dire qu’ALM n’a pas surveillé les connexions inhabituelles) ;
  • ALM n’avait pas mis en place un système de détection ou de prévention des intrusions ;
  • Aucun système de gestion de la sécurité des informations et des événements, ni de surveillance de la prévention de la perte de données ;
  • Une surveillance de mauvaise qualité des connexions VPN susceptibles de détecter un comportement de connexion inhabituel ;
  • Aucun cadre de gestion des risques documenté pour guider ALM sur la manière de déterminer les mesures de sécurité appropriées face aux risques accrus pour la confidentialité.

L’enquête a identifié des faiblesses spécifiques dans les mesures de sécurité d’ALM, y compris l’authentification à facteur unique et de mauvaises pratiques de gestion des clés et des mots de passe. Par exemple, des cas de stockage de mots de passe en texte clair, facilement identifiable, dans des e-mails et des fichiers texte ont été trouvés dans les systèmes d’ALM. Ces faiblesses constituaient individuellement et collectivement des échecs à « prendre des mesures raisonnables pour mettre en œuvre des garanties de sécurité appropriées dans les circonstances spécifiques », selon le Rapport.

 

CONSERVATION INDEFINIE ET LE « HAUT NIVEAU » POUR LA SUPPRESSION PAYANTE DES COMPTES UTILISATEURS

Le Principe 4.5 de la PIPEDA exige que les informations soient conservées uniquement tant que nécessaire pour remplir les objectifs pour lesquels elles ont été collectées. Le Rapport a constaté qu’ALM enfreignait la PIPEDA en conservant des informations personnelles provenant de comptes désactivés pendant une période indéfinie. De même, ALM enfreignait la PIPEDA en ne définissant pas de périodes maximales de conservation des informations des utilisateurs associées à des comptes inactifs.

En ce qui concerne les comptes supprimés, le Rapport a trouvé qu’ALM était capable de justifier la conservation des données (prévention des rétrofacturations frauduleuses, qui était un problème démontré pour l’entreprise), et de relier cette conservation à cet objectif. Cependant, le Rapport a également constaté que les photos des comptes supprimés étaient conservées par erreur au-delà de la période spécifiée par ALM, ce qui constituait une violation de la PIPEDA.

Le Rapport a trouvé qu’ALM facturait des frais aux utilisateurs pour une « suppression complète » (au moment de la violation, ALM facturait aux utilisateurs 19 $ CA pour supprimer complètement leurs comptes) des informations de profil des utilisateurs. Bien que la PIPEDA ne précise pas si des frais peuvent être facturés pour la suppression, le Rapport suggère qu’il existe une exigence plus stricte pour l’imposition de tels obstacles à l’exercice des droits de confidentialité d’un individu.

 

LE DÉFAUT D’ALM DE VÉRIFIER LES ADRESSES E-MAIL

Les Commissaires ont également constaté qu’ALM n’avait pas veillé à ce que les informations personnelles qu’elle détenait soient exactes, complètes et à jour, comme cela est nécessaire pour les objectifs pour lesquels elles doivent être utilisées, en violation du Principe 4.6 de la PIPEDA. ALM a confirmé qu’elle ne vérifiait pas les adresses e-mail fournies par les utilisateurs afin de protéger l’anonymat des utilisateurs vis-à-vis des autres utilisateurs. Après leur inscription, les utilisateurs recevaient un e-mail de bienvenue à l’adresse fournie. L’e-mail de bienvenue contenait une note dans le pied de page indiquant qu’une personne pouvait contacter ALM si l’e-mail avait été envoyé par erreur. ALM a expliqué qu’elle remplacerait les adresses e-mail incorrectes et désactiverait les comptes associés si et lorsque l’utilisateur réel de l’adresse e-mail contactait ALM. Cependant, ALM a admis qu’elle était consciente que certains utilisateurs soumettaient de fausses adresses e-mail.

Le Rapport a déterminé que le pied de page de l’e-mail de bienvenue était une méthode insuffisante pour résoudre les préoccupations liées à l’exactitude des adresses e-mail des non-utilisateurs étant associées à tort à Ashley Madison. Cette approche a placé l’obligation sur le non-utilisateur de répondre proactivement à un e-mail non sollicité, une pratique qui devrait être généralement évitée.

Enfin, pour réduire l’inexactitude des adresses e-mail détenues par ALM, le Rapport a suggéré que le champ de l’adresse e-mail lors de l’inscription des utilisateurs soit rendu optionnel. Selon les Commissaires, cela « réduirait largement l’incitation et la probabilité que les utilisateurs fournissent de fausses informations, réduisant ainsi les risques graves pour la confidentialité des non-utilisateurs. »

MANQUE DE TRANSPARENCE AVEC LES UTILISATEURS ET PROBLÈMES DE CONSENTEMENT

L’enquête a trouvé qu’ALM avait fait plusieurs déclarations fausses ou trompeuses concernant ses pratiques en matière de confidentialité. Par exemple, la page d’accueil d’ALM affichait à l’époque un logo de confiance fabriqué sous la forme d’une icône « Sécurité fiable ». La politique de confidentialité et les conditions générales d’ALM incluaient également des termes flous et incohérents concernant la suppression des informations des utilisateurs. Dans ce contexte, ALM n’a pas respecté ses obligations en vertu du Principe 4.8.1 de la PIPEDA, qui exige qu’elle soit transparente sur ses politiques et pratiques concernant la gestion des informations personnelles, et qu’elle rende ces informations disponibles de manière généralement compréhensible.

Le manquement d’ALM à être transparente sur ses pratiques de gestion des informations personnelles a également mis en question la validité du consentement obtenu de ses utilisateurs. L’article 6.1 de la PIPEDA stipule que le consentement n’est valide que s’il est raisonnablement attendu qu’une personne comprenne la nature, les objectifs et les conséquences de la collecte, de l’utilisation ou de la divulgation des informations personnelles auxquelles elle consent. Le Principe 4.3.5 stipule que le consentement ne doit pas être obtenu par tromperie. L’enquête a finalement conclu, pour les raisons exposées ci-dessus, que le consentement obtenu par ALM n’était pas valide et qu’il enfreignait donc l’article 6.1 et le Principe 4.3 de la PIPEDA.

LEÇONS À RETENIR

L’enquête a formulé quelques leçons largement applicables concernant la PIPEDA et les exigences en matière de gouvernance de l’information. Plus précisément, les organisations doivent porter une attention particulière aux points suivants :

  1. Sensibilité des données : Les organisations doivent être conscientes de la sensibilité des informations personnelles qu’elles collectent, utilisent et divulguent, ainsi que du niveau de garanties requis en vertu de la PIPEDA ;
  2. Consentement éclairé et significatif : Les organisations doivent s’assurer qu’elles obtiennent un consentement éclairé approprié de la part des individus, en tenant compte du fait que la personne comprend véritablement la nature, l’objectif et les conséquences de la collecte, de l’utilisation et de la divulgation des informations personnelles auxquelles elle consent.
  3. Cadres de sécurité de l’information documentés : Les organisations doivent adopter des processus, procédures et systèmes clairs et appropriés pour gérer les risques liés à la sécurité de l’information ;
  4. Processus explicites de gestion des risques : Les organisations doivent également réaliser des évaluations significatives du niveau de garanties nécessaires pour toute information personnelle donnée ;
  5. Formation adéquate : Les organisations doivent administrer une formation en sécurité des données spécifique au rôle de tous les employés, entre autres formations ;
  6. Mesures de sécurité robustes : Celles-ci incluent l’authentification multi-facteurs et de solides pratiques de gestion des clés et des mots de passe, y compris la non-conservation des matériaux d’authentification sur des lecteurs réseau partagés et en garantissant que les systèmes internes ayant accès aux fonctions administratives sont eux-mêmes suffisamment protégés lorsque des informations personnelles sensibles sont collectées, utilisées ou divulguées ;
  7. Pratiques de conservation raisonnables : La PIPEDA exige que les informations personnelles ne soient conservées que tant que nécessaire pour remplir l’objectif pour lequel elles ont été collectées. Les informations personnelles qui ne sont plus nécessaires doivent être détruites, effacées ou rendues anonymes. Les organisations doivent être conscientes de ces exigences lorsqu’elles élaborent des lignes directrices comprenant des périodes minimales et maximales de conservation des informations personnelles ;
  8. Assurer l’exactitude des informations collectées : Pour être conforme à la PIPEDA, les organisations doivent vérifier l’exactitude des informations collectées, dans la mesure où cela est nécessaire pour les objectifs pour lesquels elles doivent être utilisées ; et
  9. Assurer la véracité des informations partagées : Les déclarations fausses ou trompeuses peuvent affecter la validité du consentement d’un utilisateur à la divulgation de ses informations personnelles. Par conséquent, les organisations doivent garantir l’exactitude de toute information partagée concernant leurs identifiants de sécurité.

Pour plus d’informations ou des conseils sur la conformité avec la PIPEDA ou d’autres lois canadiennes sur la confidentialité, contactez le groupe Cyber, Privacy & Data Protection de Whitelaw Twining.

 

[1] www.ashleymadison.com

Auteur