Si des chercheurs avaient déjà dénoncé la faiblesse de la sécurité du site, notamment le choix de la protection des mots de passe par la fonction de hash bcrypt, cette fois-ci c’est une enquête des autorités de protection de la vie privée du Canada et de l’Australie qui vient souligner les mauvaises pratiques de sécurité. D’après les résultats de l’enquête, bien qu’Ashley Madison encourageait l’adultère en proposant un « processus de gestion des risques dédié pour protéger les renseignements personnels », le site lui-même s’appuyait sur des pratiques de sécurité qui ne correspondaient pas aux normes et ne répondaient pas aux lois relatives à la vie privée.
L’un des problèmes était le manque d’éthique : sur sa page d’accueil, Ashley Madison avait porté la mention « Trusted Security Award » à la droite d’une médaille. Étrangement, c’était le seul site en ligne à porter une telle mention. Aussi, l’entreprise derrière le site a admis plus tard qu’il s’agissait d’une récompense factice et a décidé de la retirer.
De plus, comme l’avait déjà indiqué The Impact Team, malgré la suppression par l’utilisateur, la désactivation d’un compte ou même l’inactivité d’un profil (c’est-à-dire un profil qui n’a pas été consulté par son propriétaire depuis une longue période), Ashley Madison conservait en réalité les informations personnelles de ses clients à moins que les utilisateurs n’optent pour l’option payante afin de supprimer définitivement leurs données. Cette pratique n’était pas clairement définie dans la politique de confidentialité d’Ashley Madison.
L’analyse de l’étendue du piratage n’a pas pu être menée convenablement, en partie parce que les pirates ont pu élever leurs privilèges pour s’octroyer des privilèges administrateurs et effacer les logs qui auraient pu contenir des traces de leurs activités. Aussi, ALM a fait savoir à l’équipe d’investigation ainsi qu’aux individus affectés via un courriel de notification, qu’en dehors des numéros complets de carte de paiement, qui n’étaient en général pas enregistrés par ALM, « toutes les autres informations que les visiteurs ont fournies via Ashleymadison.com pourraient avoir été acquises par les pirates ». Ces informations comprennent les photos des utilisateurs, les communications entre eux et avec le personnel ALM, et d’autres informations en plus de celles qui avaient déjà été affichées par les pirates.
Les gendarmes de la vie privée canadien et australien ont donné une série de recommandations que Ruby a accepté de suivre comme par exemple fournir une option gratuite pour supprimer les informations des utilisateurs une fois qu’ils suppriment leurs profils (les utilisateurs devaient payer 15 dollars US).
« Les conclusions de ce rapport comportent des leçons importantes pour d'autres organisations qui détiennent des renseignements personnels. La leçon la plus largement applicable est qu'il est crucial que les organisations qui détiennent des renseignements personnels numériques adoptent des processus clairs et appropriés, des procédures et des systèmes pour gérer les risques relatifs à la sécurité de l'information, appuyés par une expertise adéquate (interne ou externe). Cela doit encore être plus vérifié dans le cas où les renseignements personnels détenus comprennent des informations de nature délicate qui, si elles étaient compromises, pourraient causer d'importants dommages à la réputation des personnes touchées ou à d'autres personnes. Les organisations qui détiennent des informations personnelles sensibles ou une quantité importante de renseignements personnels, comme ce fut le cas ici, devraient avoir des mesures de sécurité de l'information, y compris, mais sans s'y limiter :
- une ou plusieurs politiques de sécurité ;
- un processus de gestion des risques explicite qui aborde les questions de sécurité de l'information, en s’appuyant sur une expertise adéquate ;
- des formations adéquates à la vie privée et à la sécurité pour l'ensemble du personnel. »
Source : rapport de la Commission de la vie privée (Canada), Ashley Madison (déclaration de Ruby)
Voir aussi :
19 % des consommateurs américains seraient prêts à délaisser un commerçant dont les données ont été piratées, d'après un récent sondage de KPMG