L’année dernière, Ashley Madison, le site canadien de rencontre en ligne entretenant l’adultère, a fait l’objet d’un piratage par un groupe de pirates qui se font appeler The Impact Team. Ces derniers ont menacé Avid Life Media (ALM, qui a changé de nom après le scandale et a opté pour Ruby), qui a dans son portfolio plusieurs sites de rencontres pour adultes, de divulguer les données de leurs utilisateurs si elle ne retirait pas d'Internet ses sites AshleyMadison.com et EstablishedMen.com. Leur demande n’ayant pas reçu de réponse favorable, ils ont décidé de publier une base de données de 36 millions d’utilisateurs de la plateforme qui contenait des informations comme des informations relatives au profil de l’utilisateur (nom, autodescription de l’utilisateur, profil recherché, code postal, date de naissance, etc.), les informations relatives au compte de l’utilisateur (utilisées pour faciliter l’accès au service Ashley Madison comme l’adresse mail fournie au moment de l’inscription, les questions de sécurité et les réponses ainsi que les mots de passe hashés) et les informations de paiement (le nom réel de l’utilisateur, l’adresse de facturation et les quatre derniers chiffres de la carte de crédit).Si des chercheurs avaient déjà dénoncé la faiblesse de la sécurité du site, notamment le choix de la protection des mots de passe par la fonction de hash bcrypt, cette fois-ci c’est une enquête des autorités de protection de la vie privée du Canada et de l’Australie qui vient souligner les mauvaises pratiques de sécurité. D’après les résultats de l’enquête, bien qu’Ashley Madison encourageait l’adultère en proposant un « processus de gestion des risques dédié pour protéger les renseignements personnels », le site lui-même s’appuyait sur des pratiques de sécurité qui ne correspondaient pas aux normes et ne répondaient pas aux lois relatives à la vie privée.
L’un des problèmes était le manque d’éthique : sur sa page d’accueil, Ashley Madison avait porté la mention « Trusted Security Award » à la droite d’une médaille. Étrangement, c’était le seul site en ligne à porter une telle mention. Aussi, l’entreprise derrière le site a admis plus tard qu’il s’agissait d’une récompense factice et a décidé de la retirer.
De plus, comme l’avait déjà indiqué The Impact Team, malgré la suppression par l’utilisateur, la désactivation d’un compte ou même l’inactivité d’un profil (c’est-à-dire un profil qui n’a pas été consulté par son propriétaire depuis une longue période), Ashley Madison conservait en réalité les informations personnelles de ses clients à moins que les utilisateurs n’optent pour l’option payante afin de supprimer définitivement leurs données. Cette pratique n’était pas clairement définie dans la politique de confidentialité d’Ashley Madison.
L’analyse de l’étendue du piratage n’a pas pu être menée convenablement, en partie parce que les pirates ont pu élever leurs privilèges pour s’octroyer des privilèges administrateurs et effacer les logs qui auraient pu contenir des traces de leurs activités. Aussi, ALM a fait savoir à l’équipe d’investigation ainsi qu’aux individus affectés via un courriel de notification, qu’en dehors des numéros complets de carte de paiement, qui n’étaient en général pas enregistrés par ALM, « toutes les autres informations que les visiteurs ont fournies via Ashleymadison.com pourraient avoir été acquises par les pirates ». Ces informations comprennent les photos des utilisateurs, les communications entre eux et avec le personnel ALM, et d’autres informations en plus de celles qui avaient déjà été affichées par les pirates.
Les gendarmes de la vie privée canadien et australien ont donné une série de recommandations que Ruby a accepté de suivre comme par exemple fournir une option gratuite pour supprimer les informations des utilisateurs une fois qu’ils suppriment leurs profils (les utilisateurs devaient payer 15 dollars US).
« Les conclusions de ce rapport comportent des leçons importantes pour d'autres organisations qui détiennent des renseignements personnels. La leçon la plus largement applicable est qu'il est crucial que les organisations qui détiennent des renseignements personnels numériques adoptent des processus clairs et appropriés, des procédures et des systèmes pour gérer les risques relatifs à la sécurité de l'information, appuyés par une expertise adéquate (interne ou externe). Cela doit encore être plus vérifié dans le cas où les renseignements personnels détenus comprennent des informations de nature délicate qui, si elles étaient compromises, pourraient causer d'importants dommages à la réputation des personnes touchées ou à d'autres personnes. Les organisations qui détiennent des informations personnelles sensibles ou une quantité importante de renseignements personnels, comme ce fut le cas ici, devraient avoir des mesures de sécurité de l'information, y compris, mais sans s'y limiter :
- une ou plusieurs politiques de sécurité ;
- un processus de gestion des risques explicite qui aborde les questions de sécurité de l'information, en s’appuyant sur une expertise adéquate ;
- des formations adéquates à la vie privée et à la sécurité pour l'ensemble du personnel. »
Source : rapport de la Commission de la vie privée (Canada), Ashley Madison (déclaration de Ruby)
Voir aussi :
19 % des consommateurs américains seraient prêts à délaisser un commerçant dont les données ont été piratées, d'après un récent sondage de KPMG 
Envoyé par Stéphane le calme
).