Une citation attribuée au directeur du FBI Robert Mueller est: « Il n’y a que deux types d’entreprises: celles qui ont été piratées et celles qui le seront ». L’évaluation de la cyberattaque Ashley Madison a des leçons à tirer pour toutes les organisations qui pourraient faire face à ce risque.
Le 15 juillet 2015, un site Web géré par Avid Life Media Inc. (ALM), appelé Ashley Madison ciblant les personnes à la recherche d’une liaison discrète, a été violé par un groupe ou une personne se faisant appeler The Impact Team. Les renseignements personnels des membres ont été menacés d’être exposés à moins qu’ALM ne ferme le site Web Ashley Madison et un autre site Web d’ALM. ALM n’a pas respecté la demande et, le 20 juillet 2015, a signalé l’atteinte au Commissariat à la protection de la vie privée du Canada (CPVP) après que l’agresseur eut publié sa demande sur Internet le 19 juillet 2015. Les 18 et 20 août 2015, l’agresseur a publié des renseignements qu’il prétendait avoir volés à ALM, y compris les détails d’environ 36 millions de comptes d’utilisateurs d’Ashley Madison.
Le Bureau du commissaire à l’information de l’Australie (OAIC) et le CPVP ont enquêté conjointement sur les pratiques d’ALM en matière de protection de la vie privée au moment de l’atteinte à la protection des données, les circonstances de l’atteinte à la protection des données et les pratiques de traitement de l’information d’ALM.
L’incident fournit des leçons pour les futures victimes de cyberattaques sur les étapes probables à rencontrer dans un tel incident et illustre les efforts qui peuvent être faits pour atténuer les dommages qui en découlent.
La première leçon est qu’une violation de données est un événement de gestion de crise. De la détection du comportement dans le système de gestion de base de données d’ALM à la publication de la menace sur Internet et à l’engagement avec le CPVP, tout s’est produit en quelques jours seulement. Les organisations peuvent être submergées par le rythme rapide avec lequel un événement de violation se développe et une gestion objective de la crise est nécessaire pour minimiser l’augmentation des dommages. Les préparatifs préalables, comme la préparation d’un plan d’intervention en cas d’atteinte à la vie privée et la formation avec celui-ci, peuvent aider à atténuer les dommages.
Une deuxième leçon est d’agir rapidement pour arrêter la poursuite de la violation. ALM a agi rapidement pour empêcher tout accès ultérieur à l’attaquant. Le jour même où elle a pris connaissance de l’attaque, ALM a pris des mesures immédiates pour restreindre l’accès de l’attaquant à ses systèmes et ALM a engagé un consultant en cybersécurité pour l’aider à répondre à l’attaque et à enquêter sur celle-ci, à éliminer toute intrusion non autorisée continue et à fournir des recommandations pour renforcer sa sécurité. De telles mesures nécessitent l’accès à un soutien technique et médico-légal très compétent. Une leçon pour les futures victimes est que la préparation préalable et l’engagement de ces experts peuvent entraîner une réponse plus rapide lorsqu’ils sont confrontés à une violation.
Après la publication, la violation est devenue un événement médiatique. ALM a publié plusieurs communiqués de presse sur la violation. Ils ont également mis en place une ligne téléphonique dédiée et un système de demande de renseignements par courriel pour permettre aux utilisateurs touchés de communiquer avec ALM au sujet de l’atteinte. ALM a par la suite envoyé un avis écrit direct de l’atteinte par courriel aux utilisateurs. ALM a répondu aux demandes du CPVP et de l’OAIC de fournir des renseignements supplémentaires sur l’atteinte à la protection des données sur une base volontaire. La leçon à tirer est qu’un plan d’intervention en cas d’atteinte à la vie privée devrait prévoir les divers éléments de communication avec les personnes touchées, avec les organismes de réglementation applicables, avec les médias et d’autres intervenants.
ALM a procédé à une réévaluation importante de son programme de sécurité de l’information. Ils ont embauché un chef de la sécurité de l’information qui relève directement du chef de la direction et qui a un lien hiérarchique avec le conseil d’administration. Des consultants externes ont été engagés et le cadre de sécurité d’ALM a été évalué, de nouveaux documents et procédures ont été élaborés et une formation a été offerte au personnel. La leçon à en tirer est qu’en procédant à une évaluation critique du programme de sécurité de l’information d’une organisation, l’efficacité de ces protections peut être améliorée.
Les efforts d’atténuation déployés par ALM comprenaient l’utilisation de mécanismes d’avis et de retrait pour supprimer les données volées de nombreux sites Web.
Le rapport conjoint de l’OAIC et du CPVP a été publié le 22 août 2016.
Le rapport reconnaît cette obligation fondamentale selon laquelle les organisations qui recueillent des renseignements personnels ont le devoir de les protéger. Le principe 4.7 de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) exige que les renseignements personnels soient protégés au moyen de mesures de protection appropriées à la sensibilité des renseignements, et le principe 4.7.1 exige des mesures de sécurité pour protéger les renseignements personnels contre la perte ou le vol, ainsi que contre l’accès, la communication, la copie, l’utilisation ou la modification non autorisés.
Le niveau de protection requis dépend de la sensibilité de l’information. Le rapport décrivait les facteurs que l’évaluation doit prendre en compte, y compris « une évaluation significative du niveau de protection requis pour tout renseignement personnel donné doit être fondée sur le contexte, proportionnelle à la sensibilité des données et éclairée par le risque potentiel de préjudice pour les personnes découlant de l’accès, de la divulgation, de la copie, de l’utilisation ou de la modification non autorisés des renseignements. Cette évaluation ne devrait pas se concentrer uniquement sur le risque de perte financière pour les personnes en raison de la fraude ou du vol d’identité, mais aussi sur leur bien-être physique et social en jeu, y compris les impacts potentiels sur les relations et les risques d’atteinte à la réputation, l’embarras ou l’humiliation.
Dans ce cas, l’un des principaux risques est l’atteinte à la réputation, car le site Web d’ALM recueille des informations sensibles sur les pratiques, les préférences et les fantasmes sexuels de l’utilisateur. Le CPVP et l’OAIC ont eu connaissance de tentatives d’extorsion contre des personnes dont les renseignements ont été compromis à la suite de l’atteinte à la protection des données. Le rapport note que certaines « personnes touchées ont reçu des courriels menaçant de divulguer leur implication avec Ashley Madison à des membres de leur famille ou à des employeurs si elles ne versaient pas un paiement en échange du silence ».
Dans le cas de cette violation, le rapport suggère une attaque ciblée sophistiquée compromettant initialement les informations d’identification de compte valides d’un employé et passant à l’accès au réseau d’entreprise et compromettant des comptes et des systèmes d’utilisateurs supplémentaires. L’objectif de l’effort semble avoir été de cartographier la topographie du système et d’escalader les privilèges d’accès de l’attaquant en fin de compte pour accéder aux données utilisateur à partir du site Web Ashley Madison.
Le rapport indiquait qu’en raison de la sensibilité de l’information hébergée, le niveau attendu de mesures de sécurité aurait dû être élevé. L’enquête a tenu compte des mesures de protection qu’ALM avait en place au moment de l’atteinte à la protection des données afin d’évaluer si la GAP avait satisfait aux exigences du principe 4.7 de la LPRPDE. Les mesures de protection physiques, technologiques et organisationnelles examinées ont été examinées. Le rapport a noté qu’au moment de l’atteinte, ALM ne disposait pas de politiques ou de pratiques documentées en matière de sécurité de l’information pour la gestion des autorisations réseau. De même, au moment de l’incident, les politiques et les pratiques ne couvraient pas de façon générale les aspects de prévention et de détection.
Il est important de se rappeler qu’ALM a été attaqué. En vertu de la LPRPDE, le simple fait d’une attaque ne signifie pas qu’ALM a manqué à ses obligations légales d’assurer une sécurité adéquate. Comme l’indique le rapport, « le fait que la sécurité ait été compromise ne signifie pas nécessairement qu’il y a eu violation de la LPRPDE ou de la Loi sur la protection des renseignements personnels de l’Australie. Il est plutôt nécessaire de se demander si les mesures de protection en place au moment de l’atteinte à la protection des données étaient suffisantes compte tenu, pour la LPRPDE, de la « sensibilité des renseignements », et pour les APP, quelles mesures étaient « raisonnables dans les circonstances ».
Les constatations ont permis d’évaluer l’attente de mesures de protection substantielles à la lumière de la sensibilité des renseignements recueillis. Les conclusions étaient les suivantes : « Les commissaires sont d’avis qu’ALM n’avait pas de mesures de protection appropriées en place compte tenu de la sensibilité des renseignements personnels en vertu de la LPRPDE, et qu’elle n’a pas non plus pris de mesures raisonnables dans les circonstances pour protéger les renseignements personnels qu’elle détenait en vertu de la Privacy Act de l’Australie.
Bien qu’ALM ait mis en place certaines mesures de sécurité, ces mesures de protection semblent avoir été adoptées sans tenir dûment compte des risques encourus et en l’absence d’un cadre de gouvernance de la sécurité de l’information adéquat et cohérent qui garantirait que les pratiques, les systèmes et les procédures appropriés sont systématiquement compris et mis en œuvre efficacement. Par conséquent, ALM n’avait aucun moyen clair de s’assurer que ses risques liés à la sécurité de l’information étaient bien gérés. Cette absence d’un cadre adéquat n’a pas permis d’empêcher les multiples faiblesses en matière de sécurité décrites ci-dessus et, à ce titre, constitue une lacune inacceptable pour une organisation qui détient des renseignements personnels de nature délicate ou une quantité importante de renseignements personnels, comme dans le cas d’ALM.
Les principales lacunes du cadre de sécurité relevées dans le rapport étaient les suivantes :
Le CPVP et l’OAIC ont formulé un certain nombre de recommandations précises à l’intention de la GAP, y compris la réalisation d’un examen exhaustif des mesures de protection de sécurité des systèmes d’information en place, l’augmentation du cadre de sécurité, la documentation de ce cadre et de ces politiques et la formation adéquate du personnel. Il a également été recommandé qu’ALM fournisse un rapport d’une tierce partie indépendante sur ces mesures. Les deux bureaux de la protection de la vie privée ont utilisé leurs pouvoirs pour surveiller la mise en œuvre des recommandations du rapport, en utilisant une entente de conformité en vertu du paragraphe 17.1(1) de la LPRPDE dans le cas du CPVP et un engagement exécutoire dans le cas de l’OAIC.
Le rapport est allé dans des détails beaucoup plus spécifiques sur certains aspects du fonctionnement du site Web Ashley Madison. En particulier, le CPVP et l’OAIC ont évalué l’exigence en vertu de la loi sur la protection des renseignements personnels de détruire ou de dé-identifier les renseignements personnels lorsqu’ils ne sont plus nécessaires. Dans ce cas, il a été déterminé que les informations de profil de certains comptes d’utilisateurs ont été conservées indéfiniment.
Le rapport citait deux questions en jeu, à savoir a) si ALM conservait les renseignements sur les utilisateurs plus longtemps que nécessaire pour atteindre l’objectif pour lequel ils étaient recueillis et b) si l’imposition de frais pour la suppression complète des renseignements de l’utilisateur contrevenait au principe 4.3.8 de la LPRPDE concernant le retrait du consentement.
Ashley Madison a offert une option de suppression de base de l’utilisateur par laquelle l’accès à la recherche aux informations du compte a été rendu indisponible, mais ALM conservait toujours les informations du compte au cas où un utilisateur déciderait de changer d’avis.
Pour les utilisateurs qui payaient pour l’option de suppression complète, les informations du compte ont été rendues inaccessibles à une recherche sur le site Web, mais les informations du compte ont été conservées pendant 12 mois supplémentaires au cas où ALM devrait contester la rétrofacturation d’un utilisateur sur la carte de crédit de l’utilisateur. Le rapport note que la conservation des informations dans de tels cas de suppression complète a été abordée dans un avis de confirmation aux utilisateurs. Les modalités d’ALM ont également expressément confirmé son approche à l’égard des rétrofacturations.
Le CPVP et l’OAIC ont conclu qu’il n’était pas raisonnable de conserver indéfiniment les renseignements de l’utilisateur au cas où un utilisateur souhaiterait réactiver son compte. Ils ont constaté que des considérations similaires s’appliquaient aux comptes inactifs.
En ce qui concerne la conservation des renseignements sur le compte dans le cas de l’option de suppression complète, l’OAIC et le CPVP avaient des considérations différentes. En vertu de la LPRPDE, il était clair que les renseignements sur le compte étaient conservés pour traiter les paiements et aussi, selon les modalités, pour prévenir les rétrofacturations frauduleuses. Le CPVP a conclu que la conservation des photos au-delà de la période précisée par ALM violait le principe 4.5 de la LPRPDE. Toutefois, la politique de conservation des renseignements sur les utilisateurs à la suite d’une suppression complète pendant une période de temps limitée pour lutter contre la fraude des utilisateurs était permise en vertu de la LPRPDE.
Les commissaires ont également imposé des frais pour l’option de suppression complète. Ils ont fait remarquer que « les frais constituent une condition pour que les utilisateurs exercent leur droit, en vertu du principe 4.3.8 de la LPRPDE, de retirer leur consentement à ce qu’ALM ait leurs renseignements personnels ». La LPRPDE ne dit rien sur la question de savoir si des frais peuvent être exigés dans de telles circonstances. Dans cette affaire, les commissaires ont fait remarquer que les frais n’avaient pas été divulgués pendant le processus d’inscription et ont donc conclu que « la pratique d’ALM consistant à facturer des frais pour le retrait du consentement sans préavis et accord contrevient au principe 4.3.8 de la LPRPDE ». Les commissaires ont fait remarquer que si des ententes contractuelles avaient été en place pour que les utilisateurs aient accepté de tels frais, le caractère raisonnable d’une telle pratique pourrait encore faire l’objet d’une évaluation.
Les commissaires ont fait remarquer que la loi sur la protection des renseignements personnels exige qu’une organisation prenne des mesures pour maintenir la qualité et l’exactitude des renseignements personnels qu’elle recueille et utilise. Dans ce cas, certaines des adresses e-mail publiées par les attaquants en ligne étaient des personnes qui n’avaient jamais utilisé le service Ashley Madison. ALM a fait remarquer qu’elle n’avait pas utilisé de procédures de vérification des courriels afin d’améliorer le sentiment d’anonymat d’un utilisateur.
L’adresse e-mail était une exigence obligatoire du processus d’inscription et prévoyait un message de bienvenue ainsi que des options de désabonnement et de suppression pour l’utilisateur. Le rapport indiquait que bon nombre des adresses de courriel permettaient d’identifier un utilisateur et qu’il s’agissait donc de renseignements personnels.
Les commissaires ont conclu que les dispositions relatives à l’exactitude s’appliquent à « toutes les personnes dont les renseignements personnels sont recueillis, utilisés ou communiqués par une organisation, que la personne ait ou non fourni les renseignements directement à l’organisation ». Facteurs importants dans ce cas où il y avait un potentiel des utilisateurs du service Ashley Madison à fournir de faux renseignements, il y avait une sensibilité au sujet de la création et de l’association avec le service Ashley Madison et ALM savait réellement qu’un sous-ensemble de ses utilisateurs avait soumis de fausses adresses de courriel.
Le rapport a révélé que l’approche d’Ashley Madison consistant à utiliser un courriel de bienvenue pour habiliter les non-utilisateurs dont les adresses de courriel ont été faussement utilisées pour s’opposer était insuffisante pour répondre aux préoccupations d’exactitude liées aux adresses de courriel des non-utilisateurs associés de manière inexacte au service Ashley Madison. Le rapport a conclu qu’ALM devait prendre de meilleures mesures pour assurer l’exactitude des adresses de courriel qu’elle recueille.
Le principe clé sur lequel repose la loi sur la protection des renseignements personnels est le concept de consentement éclairé. Les commissaires ont examiné les renseignements mis à la disposition d’un utilisateur au cours du processus d’inscription afin d’évaluer si le consentement avait été éclairé.
Le rapport indiquait que le site Web d’Ashley Madison avait inclus une série de marques de confiance suggérant que le site Web était sécurisé. Cependant, l’enquête a révélé qu’une marque de confiance « attribution de sécurité de confiance » était une invention. L’examen des modalités a été jugé difficile à comprendre, trompeur ou n’a pas été divulgué sur certains aspects des mesures de sécurité, des options de fermeture de compte et des pratiques de conservation d’Ashley Madison.
Le rapport a révélé que « le manque de clarté concernant les pratiques de conservation et la présence d’une marque de confiance trompeuse pourraient avoir eu une incidence importante sur le consentement éclairé d’un utilisateur potentiel à se joindre au site d’Ashley Madison et à permettre la collecte, l’utilisation et la divulgation de ses renseignements personnels » et, par conséquent, il a été jugé contraire à l’article 6.1 de la LPRPDE ainsi qu’aux principes 4.3 et 4.8.
En même temps que la publication du rapport du Commissariat sur Ashley Madison, le CPVP a également publié un résumé des leçons à retenir pour toutes les organisations. Ces points sont pertinents pour toutes les organisations qui recueillent, utilisent ou communiquent des renseignements personnels de nature délicate.
Il est clair qu’un élément important du cadre de gestion des risques et d’atténuation des risques pour le site Web d’Ashley Madison était sa divulgation de la vie privée et les termes et conditions utilisés dans le processus d’inscription des utilisateurs. Tous les exploitants de sites Web devraient examiner la portée, l’exactitude et l’efficacité de leurs pratiques de passation de marchés en ligne comme moyen supplémentaire de recueillir un consentement éclairé et de gérer les attentes des utilisateurs.