Le site de rencontres extraconjugales Ashley Madison, qui a fait l’objet d’un piratage massif à l’été 2015, n’aurait pas pris les mesures adéquates en matière de sécurité des données.
Il s’agit de la conclusion d’une enquête menée conjointement par le Commissariat à la protection de la vie privée du Canada et le Commissariat de l’information de l’Australie.
« Il est inacceptable qu’une organisation traite de grandes quantités de renseignements personnels de cette nature sans avoir adopté un plan global de sécurité de l’information. C’est là une des grandes leçons que toutes les organisations peuvent tirer de cette enquête », a affirmé, par communiqué, Daniel Therrien, commissaire à la protection de la vie privée du Canada.
L’entreprise torontoise Avid Life Media (ALM), à qui appartient le site, aurait inventé de toutes pièces une « marque de confiance » en sécurité pour rassurer les clients. « Le recours à une marque de confiance fictive signifie que le consentement des individus a été obtenu de façon détournée », a-t-il ajouté.
L’enquête a révélé que plusieurs mesures de sécurité étaient insuffisantes ou absentes. Par exemple, les clés de chiffrement des communications web entre l’entreprise et les utilisateurs étaient stockées sous forme de texte clair et nettement identifiable. Autre constat : les renseignements personnels des utilisateurs étaient conservés même après la suppression des profils.
Lire aussi:
Données personnelles : une cour ontarienne donne raison à Rogers et Telus
Des Canadiens craignent de perdre le contrôle sur leurs renseignements
Propositions pour moderniser la protection des renseignements personnels au fédéral
