Ashley Madison: retour sur un gigantesque fiasco

Dans un rapport dévoilé cette semaine, Daniel Therrien, commissaire à la protection de la vie privée du Canada, a présenté les résultats d’une enquête menée à la suite du piratage du site canadien de rencontres adultères en ligne, Ashley Madison, survenu en juillet 2015.

Réputé pour les rencontres extraconjugales discrètes qu’il promettait à ses membres, souvent mariés ou en couple, Ashley Madison recevait, selon SimilarWeb, site spécialisé dans les technologies de l’information, près de 125 millions de visites par mois en 2015. En piratant le réseau informatique d’Avid Life Media inc. (ALM, l’entreprise torontoise qui publie le site), les hackeurs ont récupéré la liste des clients du site, leurs noms, adresses, fantasmes sexuels ou encore leurs numéros de carte de crédit.

Les prénoms des clients ainsi que leurs données personnelles ont été publiés sur le Web en août 2015, de même que des informations concernant des internautes qui avaient payé 19 $ pour disparaître complètement du site.

>> À lire aussi sur notre site: Les 15 types de mots de passe les plus répandus sur le Web

Affirmations trompeuses

Menée conjointement avec le Commissariat à l’information de l’Australie, l’enquête du Commissariat à la protection de la vie privée du Canada a permis de mettre en lumière les nombreuses défaillances du site en matière de protection de la vie privée.

Ashley Madison s’était notamment fait connaître comme un service garantissant une discrétion totale à ses clients, rappelle le Commissariat. Pour étayer cette information, ALM affichait sur la page d’accueil du site une icône en forme de médaille mentionnant qu’Ashley Madison s’était vu décerner une «marque de confiance» pour le niveau élevé de sécurité et de protection de la vie privée. Une fausse marque, inventée par ALM.

Cette fausse affirmation signifie donc que le consentement des individus a été obtenu de façon détournée, estime le commissaire Daniel Therrien. Il rappelle par ailleurs que «les atteintes à la vie privée constituent l’un des principaux risques pour toute organisation dont le modèle d’affaires repose sur la collecte et l’utilisation de renseignements personnels».

Or, précise-t-il, le risque est encore plus élevé dans le cas de renseignements très sensibles et attrayants pour les criminels: «Il est inacceptable qu’une organisation traite de grandes quantités de renseignements personnels de cette nature sans avoir adopté un plan global de sécurité de l’information.»

Entente de conformité passée avec le commissaire

Dans cette affaire, les préjudices causés aux utilisateurs vont «au-delà des répercussions financières», précise le commissaire. Dans le cas des données piratées et divulguées sur le Web, il s’agit d’une atteinte à la réputation des clients du site.

Or, cette atteinte est, selon Daniel Therrien, «susceptible d’entraîner des répercussions importantes, car elle peut nuire longtemps aux relations de la personne, à sa sécurité et à sa capacité de trouver un emploi et de le garder, selon la nature des renseignements communiqués.»

L’enquête a confirmé que l’entreprise n’était pas en conformité avec la Loi sur la protection des renseignements personnels et les documents électroniques(LPRPDE), loi fédérale qui régit la protection de la vie privée au pays. L’entreprise a collaboré à l’enquête et accepté de conclure une entente de conformité avec le commissaire canadien afin de régler les problèmes de protection de la vie privée.