Si le site de rencontres extraconjugales Ashley Madison se présentait comme discret et sécuritaire, ses politiques et ses mécanismes de sécurité étaient en fait inadéquats, ont révélé, mardi, des autorités en matière de protection de la vie privée au Canada et en Australie.

Plus d'un an après la brèche de données qui a fait les manchettes un peu partout dans le monde, le Commissariat à la protection de la vie privée du Canada et le Commissariat à l'information de l'Australie disent avoir relevé chez Ashley Madison de nombreuses infractions aux lois régissant la protection des renseignements personnels dans les deux pays.

Dans un rapport publié mardi, les deux organismes signalent l'absence d'un cadre en matière de sécurité et de protection de la vie privée, et ce, alors que la société mère était bien consciente de la nécessité d'une telle structure. Ashley Madison a même tenté de rassurer ses utilisateurs en s'attribuant un faux sceau de sécurité placé en évidence sur sa page d'accueil.

Même si le site pour hommes et femmes mariés avait mis en place quelques mesures de sécurité, l'enquête a découvert des failles dans sa gestion des mots de passe et des clés de chiffrement ainsi que dans son processus d'identification des employés qui se connectaient à distance.

Le piratage informatique de l'an dernier a ainsi dévoilé les renseignements financiers et personnels de près de 36 millions de ses clients.

Ruby Corporation, la société mère d'Ashley Madison auparavant connue sous le nom d'Avid Life Media, affirme que cette attaque informatique lui a coûté un quart de son revenu annuel. Elle a assuré avoir coopéré avec les autorités dans le cadre de cette enquête et avoir conclu une entente de conformité stipulant que les recommandations du rapport pourront être imposées par un tribunal.

L'entreprise s'est également engagée à renforcer et à documenter son système de protection des données personnelles d'ici le 31 mai prochain. Une formation obligatoire en matière de vie privée et de sécurité a aussi été ordonnée pour ses employés.

Les mesures actuellement en place devront être soumises à l'examen approfondi d'une tierce partie, et ce, d'ici la fin de l'année. Ruby Corporation affirme que cet examen est en cours.

«Les atteintes à la vie privée constituent l'un des principaux risques pour toute organisation dont le modèle d'affaires repose sur la collecte et l'utilisation de renseignements personnels », a déclaré par voie de communiqué le commissaire canadien à la protection de la vie privée, Daniel Therrien.

«Et le risque est encore plus élevé dans le cas des renseignements très sensibles et attrayants pour les criminels, a-t-il poursuivi. Il est inacceptable qu'une organisation traite de grandes quantités de renseignements personnels de cette nature sans avoir adopté un plan global de sécurité de l'information. C'est là une des grandes leçons que toutes les organisations peuvent tirer de cette enquête.»