Photo by Matthew Henry from Burst

Suites de l’affaire Ashley Madison: quand piètre sécurité rime avec faute, même en cas d’intrusion par un tiers

Le Commissaire à la protection de la vie privée se prononçait récemment sur l’intrusion information du site Ashley Madison (en juillet 2015) et sur ses implications pour les renseignements des usagers de ce site.

Selon le rapport du Commissaire, l’atteinte à la sécurité du site a été facilitée par des pratiques, des procédures et des systèmes déficients chez ALM, l’entreprise qui exploitait le site. On peut notamment reprocher au site Ashley Madison d’avoir conservé les renseignements de ses usagers sans limites de temps et d’avoir mis en place des mesures de sécurité inadéquates.

Plus intéressant encore pour nous, le rapport souligne que le genre de renseignements peut nécessiter que la société qui les gère mette en place et mette continuellement en oeuvre une sécurité renforcée. Le rapport cible aussi les énoncés que faisait le site Ashley Madison quant à sa sécurité (avant l’incident), lesquelles donnaient l’impression aux usagers que leurs renseignements étaient entre bonnes mains. ALM avait notamment affiché sur son site une série de marques de confiance semblant indiquer un niveau élevé de sécurité et de discrétion, dont certaines étaient fictives, induisant ainsi en erreur les usagers quant au degré de sécurité auquel ils étaient en droit de s’attendre.

Selon le rapport :

« ALM aurait dû mettre en place un vaste programme pour assurer la sécurité de l’information. Mentionnons notamment la quantité des renseignements personnels détenus par l’entreprise, la nature de ces données, les répercussions prévisibles pour les utilisateurs du site en cas de piratage de leurs renseignements personnels et les affirmations faites par ALM à ses utilisateurs concernant la sécurité et la discrétion.

(…)

compte tenu de la sensibilité des renseignements personnels détenus par ALM, des conséquences négatives prévisibles pour les utilisateurs du piratage de leurs renseignements personnels ainsi que des déclarations faites par ALM en ce qui a trait à la sécurité de ses systèmes d’information, les mesures que l’entreprise doit prendre afin de se conformer aux obligations liées à la sécurité en vertu de la LPRPDE et de la Privacy Act de l’Australie sont proportionnellement élevées.

(…)

ALM n’avait pas mis en place de mesures de sécurité appropriées compte tenu de la sensibilité des renseignements personnels sous le régime de la LPRPDE et qu’elle n’avait pas pris des mesures raisonnables dans les circonstances pour protéger les renseignements personnels qu’elle détenait. »

À titre d’exemple, ALM n’authentifiait pas ses employés adéquatement, utilisait un système de chiffrement facile à déjouer et gérait mal ses codes d’usager et les mots de passe. Bref, on était loin d’un site qui prenait sa sécurité véritablement au sérieux, contrairement à ses prétentions, lesquelles visaient évidemment à inciter les consommateurs à lui confier leurs secrets.

Ici, donc, le genre de site et d’information transigée et générée méritait une sécurité prise au sérieux, ce qu’ALM n’a pas fait, ce qui constitue une faute. En affichant une fausse marque de confiance, on a aussi donné aux usagers l’illusion de mesures de sécurité renforcées chez ALM. Ce faisant, le consentement des usagers a été vicié et on peut considérer qu’ALM a traité avec les renseignements de ses usagers d’une façon non conforme à la législation en matière de renseignements personnels.